Embed Size (px)
Citation preview
9 PROTECCIÓ DE DADES
DE CARÀCTER PERSONAL (2a edició)
Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal
• Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova
el Reglament de desplegament de la Llei orgànica 15/1999
• Decret 90/2006, de 20 d’octubre, sobre la creació, modificació i supressió de fitxers que contenen dades de caràcter personal
en l’àmbit de l’Administració de la Comunitat Autònoma de les Illes Balears
eines 9
PROTECCIÓ DE DADES DE CARÀCTER PERSONAL
(2a edició)
Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal
• Reial decret 1720/2007, de 21 de desembre, pel qual s’aprova
el Reglament de desplegament de la Llei orgànica 15/1999 •
Decret 90/2006, de 20 d’octubre, sobre la creació, modificació i supressió de fitxers que contenen dades de caràcter personal
en l’àmbit de l’Administració de la Comunitat Autònoma de les Illes Balears
Edició preparada per
Miquel Mascaró Artigues
2a edició (revisada i actualitzada): octubre de 2014
© D’aquesta edició:
C/ de Sant Pere, 7, 4t 07012 - Palma http://iea.caib.es Direcció de la col·lecció: Institut d’Estudis Autonòmics
SUMARI §1 LLEI ORGÀNICA 15/1999, DE 13 DE DESEMBRE, DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL ............................................................................................... 9
Títol I – Disposicions Generals .................................................................................... 9 Títol II – Principis de la protecció de dades .............................................................. 11 Títol III – Drets de les persones ................................................................................ 16 Títol IV – Disposicions Sectorials .............................................................................. 18
Capítol I – Fitxers de titularitat pública ............................................................. 18 Capítol II – Fitxers de titularitat privada ............................................................ 20
Títol V – Moviment internacional de dades ............................................................. 23 Títol VI – Agència Espanyola de Protecció de Dades ................................................ 25 Títol VII – Infraccions i sancions ............................................................................... 29 Disposicions addicionals ........................................................................................... 33 Disposicions transitòries ........................................................................................... 35 Disposició derogatòria .............................................................................................. 35 Disposicions finals..................................................................................................... 35
§2 REIAL DECRET 1720/2007, DE 21 DE DESEMBRE, PEL QUAL S’APROVA EL REGLAMENT DE DESPLEGAMENT DE LA LLEI ORGÀNICA 15/1999, DE 13 DE DESEMBRE, DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL ............................. 37
Article únic ................................................................................................................ 37 Disposicions transitòries ........................................................................................... 37 Disposició derogatòria .............................................................................................. 39 Disposicions finals..................................................................................................... 39 Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal Títol I – Disposicions Generals .................................................................................. 39 Títol II – Principis de la protecció de dades .............................................................. 44
Capítol I – Qualitat de les dades ........................................................................ 44 Capítol II – Consentiment per al tractament de les dades i deure d’informació ...................................................................................................... 47
Secció 1a – Obtenció del consentiment de l’afectat .................................. 47 Secció 2a – Deure d’informació a l’interessat ............................................ 50
Capítol III – Encarregat del tractament ............................................................. 50 Títol III – Dret d’accés, rectificació, cancel·lació i oposició ...................................... 51
Capítol I – Disposicions generals ....................................................................... 51 Capítol II – Dret d’accés ..................................................................................... 53 Capítol III – Drets de rectificació i cancel·lació .................................................. 55 Capítol IV – Dret d’oposició ............................................................................... 56
Títol IV – Disposicions aplicables a determinats fitxers de titularitat privada ......... 57 Capítol I – Fitxers d’informació sobre solvència patrimonial i crèdit ................ 57
Secció 1a – Disposicions generals .............................................................. 57 Secció 2a – Tractament de dades relatives al compliment o incompliment d’obligacions dineràries facilitades pel creditor o per qui actuï pel seu compte o interès ............................................................. 58
Capítol II – Tractaments per a activitats de publicitat i prospecció comercial ........................................................................................................... 61
Títol V – Obligacions prèvies al tractament de les dades ......................................... 64 Capítol I – Creació, modificació o supressió de fitxers de titularitat pública ............................................................................................................... 64 Capítol II – Notificació i inscripció dels fitxers de titularitat pública o privada ............................................................................................................... 65
Títol VI – Transferències internacionals de dades .................................................... 68 Capítol I – Disposicions generals ....................................................................... 68 Capítol II – Transferències a estats que proporcionin un nivell adequat de protecció ....................................................................................................... 69 Capítol III – Transferències a estats que no proporcionin un nivell de protecció adequat ............................................................................................. 70
Títol VII – Codis tipus ................................................................................................ 71 Títol VIII – De les mesures de seguretat en el tractament de dades de caràcter personal ...................................................................................................... 74
Capítol I – Disposicions generals ....................................................................... 74 Capítol II – Del document de seguretat ............................................................ 77 Capítol III – Mesures de seguretat aplicables a fitxers i tractaments automatitzats .................................................................................................... 78
Secció 1a – Mesures de seguretat de nivell bàsic ...................................... 78 Secció 2a – Mesures de seguretat de nivell mitjà ...................................... 80 Secció 3a – Mesures de seguretat de nivell alt .......................................... 82
Capítol IV – Mesures de seguretat aplicables als fitxers i tractaments no automatitzats .................................................................................................... 83
Secció 1a – Mesures de seguretat de nivell bàsic ...................................... 83 Secció 2a – Mesures de seguretat de nivell mitjà ...................................... 84 Secció 3a – Mesures de seguretat de nivell alt .......................................... 84
Títol IX – Procediments tramitats per l’Agència Espanyola de Protecció de Dades ........................................................................................................................ 85
Capítol I – Disposicions generals ....................................................................... 85 Capítol II – Procediment de tutela dels drets d’accés, rectificació, cancel·lació i oposició ........................................................................................ 86 Capítol III – Procediments relatius a l’exercici de la potestat sancionadora ..................................................................................................... 86
Secció 1a – Disposicions generals .............................................................. 86 Secció 2a – Actuacions prèvies ................................................................... 87 Secció 3a – Procediment sancionador ....................................................... 89 Secció 4a – Procediment de declaració d’infracció de la Llei orgànica 15/1999, de 13 de desembre, per les administracions públiques ............. 89
Capítol IV – Procediments relacionats amb la inscripció o cancel·lació de fitxers ................................................................................................................. 92
Secció 1a – Procediment d’inscripció de la creació, modificació o supressió de fitxers..................................................................................... 90 Secció 2a – Procediment de cancel·lació d’ofici de fitxers inscrits ............ 91
Capítol V – Procediments relacionats amb les transferències internacionals de dades .................................................................................... 91
Secció 1a – Procediment d’autorització de transferències internacionals de dades ............................................................................. 91 Secció 2a – Procediment de suspensió temporal de transferències internacionals de dades ............................................................................. 93
Capítol VI – Procediment d’inscripció de codis tipus ........................................ 94 Capítol VII – Altres procediments tramitats per l’Agència Espanyola de Protecció de Dades ............................................................................................ 95
Secció 1a – Procediment d’exempció del deure d’informació a l’interessat .................................................................................................. 95 Secció 2a – Procediment per a l’autorització de conservació de dades per a fins històrics, estadístics o científics ....................................... 96
Disposició addicional ................................................................................................ 97 Disposició final .......................................................................................................... 97
§3 DECRET 90/2006, DE 20 D’OCTUBRE, SOBRE LA CREACIÓ, MODIFICACIÓ I SUPRESSIÓ DE FITXERS QUE CONTENEN DADES DE CARÀCTER PERSONAL EN L’ÀMBIT DE L’ADMINISTRACIÓ DE LA COMUNITAT AUTÒNOMA DE LES ILLES BALEARS .................................................................................................. 99
Article 1 ..................................................................................................................... 99 Article 2 ..................................................................................................................... 99 Disposició derogatòria ............................................................................................ 100 Disposició final ........................................................................................................ 100
ÍNDEX ANALÍTIC .................................................................................................... 101
9
§1
LLEI ORGÀNICA 15/1999, DE 13 DE DESEMBRE, DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL1
(BOE núm. 298, de 14 de desembre de 1999)
TÍTOL I DISPOSICIONS GENERALS
Article 1. Objecte
Aquesta Llei orgànica té com a objecte garantir i protegir, pel que fa al tractament de les dades personals, les llibertats públiques i els drets fonamentals de les persones físiques, i especialment del seu honor i la seva intimitat personal i familiar.2 Article 2. Àmbit d’aplicació
1. Aquesta Llei orgànica és aplicable a les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.
Es regeix per aquesta Llei orgànica qualsevol tractament de dades de caràcter personal:
a) Quan el tractament s’efectuï en territori espanyol, en el marc de les activitats d’un establiment del responsable del tractament.
b) Quan al responsable del tractament no establert en territori espanyol li sigui aplicable la legislació espanyola en aplicació de les normes de dret internacional públic.
c) Quan el responsable del tractament no estigui establert en el territori de la Unió Europea i utilitzi en el tractament de dades mitjans situats en territori espanyol, llevat que aquests mitjans s’utilitzin únicament amb finalitats de trànsit.
2. El règim de protecció de les dades de caràcter personal que estableix aquesta Llei orgànica no és aplicable:
a) Als fitxers mantinguts per persones físiques en l’exercici d’activitats exclusivament personals o domèstiques.
b) Als fitxers sotmesos a la normativa sobre protecció de matèries classificades.3
1 Versió en català publicada en el suplement del BOE núm. 17, de 30 de desembre de 1999. Aquesta Llei
ha estat modificada per les disposicions següents: STC 292/2000, de 30 de novembre (BOE núm. 4, de 4 de gener de 2001); Llei 62/2003, de 30 de desembre, de mesures fiscals, administratives i de l’ordre social (BOE núm. 313, de 31 de desembre de 2003; correccions d’errades BOE núm. 3, de 3 de gener de 2004 i BOE núm. 79, d’1 d’abril de 2004), i Llei 2/2011, de 4 de març, d’economia sostenible (BOE núm. 55, de 5 de març de 2011). D’acord amb la Llei 62/2003, de 30 de desembre, esmentada anteriorment, l’Agència de Protecció de Dades ha passat a denominar-se «Agència Espanyola de Protecció de Dades». 2 Vid. article 18.4 de la Constitució espanyola i article 28 de l’Estatut d’autonomia de les Illes Balears (en
endavant, EAIB), aprovat per la LO 1/2007, de 28 de febrer (BOIB núm. 32 Ext., d’1 de març de 2007; correcció d’errades BOIB núm. 29, de 28 de febrer de 2008). 3 Vid. Llei 9/1968, de 5 d’abril, sobre secrets oficials (BOE núm. 84, de 6 d’abril de 1968), modificada per
la Llei 48/1978, de 7 d’octubre (BOE núm. 243, d’11 d’octubre de 1978).
§1
10
c) Als fitxers establerts per a la investigació del terrorisme i de formes greus de delinqüència organitzada. No obstant això, en aquests supòsits el responsable del fitxer ha de comunicar-ne prèviament l’existència, les característiques generals i la finalitat a l’Agència Espanyola de Protecció de Dades.
3. Es regeixen per les seves disposicions específiques, i pel que preveu especialment, si s’escau, aquesta Llei orgànica els tractaments de dades personals següents:
a) Els fitxers regulats per la legislació de règim electoral.4 b) Els que serveixin a finalitats exclusivament estadístiques, i estiguin emparats per
la legislació estatal o autonòmica sobre la funció estadística pública.5 c) Els que tinguin com a objecte l’emmagatzematge de les dades contingudes en
els informes personals de qualificació a què es refereix la legislació del règim del personal de les Forces Armades.6
d) Els derivats del Registre Civil i del Registre central de penats i rebels. e) Els procedents d’imatges i sons obtinguts mitjançant la utilització de
videocàmeres per les Forces i els Cossos de Seguretat, d’acord amb la legislació sobre la matèria.7
Article 3. Definicions
Als efectes d’aquesta Llei orgànica, s’entén per: a) Dades de caràcter personal: qualsevol informació referent a persones físiques
identificades o identificables. b) Fitxer: qualsevol conjunt organitzat de dades de caràcter personal, sigui quina
sigui la forma o la modalitat de creació, emmagatzematge, organització i accés. c) Tractament de dades: les operacions i els procediments tècnics de caràcter
automatitzat o no, que permetin recollir, gravar, conservar, elaborar, modificar, bloquejar i cancel·lar, així com les cessions de dades que derivin de comunicacions, consultes, interconnexions i transferències.
d) Responsable del fitxer o el tractament: persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que decideixi sobre la finalitat, el contingut i l’ús del tractament.
e) Afectat o interessat: persona física titular de les dades que siguin objecte del tractament a què es refereix l’apartat c) d’aquest article.
f) Procediment de dissociació: qualsevol tractament de dades personals de manera que la informació que s’obtingui no es pugui associar a una persona identificada o identificable.
4 Vid. LO 5/1985, de 19 de juny, de règim electoral general (BOE núm. 147, de 20 de juny de 1985).
5 Vid. Llei 12/1989, de 9 de maig, de la funció estadística pública (BOE núm. 112, d’11 de maig de 1989;
correcció d’errades BOE núm. 182, de 31 de juliol de 1990), modificada per la Llei 36/2006, de 29 de novembre, de mesures per a la prevenció del frau fiscal (BOE núm. 286, de 30 de novembre de 2006; correcció d’errades BOE núm. 58, de 8 de març de 2007). Vid., també, Llei 3/2002, de 17 de maig, d’Estadística de les Illes Balears (BOIB núm. 64, de 28 de maig de 2002). 6 Vid. Llei 17/1999, de 18 de maig, de règim del personal de les Forces Armades (BOE núm. 119, de 19 de
maig de 1999; correcció d’errades BOE núm. 184, de 3 d’agost de 1999). 7 Vid. LO 4/1997, de 4 d’agost, per la qual es regula la utilització de les videocàmeres per les forces i
cossos de seguretat en llocs públics (BOE núm. 186, de 5 d’agost de 1997), desplegada pel RD 596/1999, de 16 d’abril (BOE núm. 93, de 19 d’abril de 1999).
§1
11
g) Encarregat del tractament: la persona física o jurídica, l’autoritat pública, el servei o qualsevol altre organisme que, sol o conjuntament amb altres, tracti dades personals per compte del responsable del tractament.
h) Consentiment de l’interessat: qualsevol manifestació de la voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consenti el tractament de dades personals que el concerneixen.
i) Cessió o comunicació de dades: qualsevol revelació de dades efectuada a una persona diferent de l’interessat.
j) Fonts accessibles al públic:8 els fitxers que poden ser consultats per qualsevol persona, sense que ho impedeixi una norma limitativa o sense altra exigència que, si s’escau, l’abonament d’una contraprestació. Només es consideren fonts d’accés públic el cens promocional, els repertoris telefònics en els termes que preveu la normativa específica9 i les llistes de persones que pertanyen a grups de professionals que continguin únicament les dades de nom, títol, professió, activitat, grau acadèmic, direcció i indicació de la seva pertinença al grup. Així mateix, tenen el caràcter de fonts d’accés públic els diaris i els butlletins oficials i els mitjans de comunicació.
TÍTOL II PRINCIPIS DE LA PROTECCIÓ DE DADES
Article 4. Qualitat de les dades10
1. Les dades de caràcter personal només es poden recollir per ser tractades, així com sotmetre-les a aquest tractament, quan siguin adequades, pertinents i no excessives en relació amb l’àmbit i les finalitats determinades, explícites i legítimes per a les quals s’han obtingut.
2. Les dades de caràcter personal objecte de tractament no es poden utilitzar per a finalitats incompatibles amb aquelles per a les quals les dades hagin estat recollides. No es considera incompatible el tractament posterior d’aquestes dades amb finalitats històriques, estadístiques o científiques.
3. Les dades de caràcter personal han de ser exactes i posades al dia de manera que responguin amb veracitat a la situació actual de l’afectat.
4. Si les dades de caràcter personal registrades són inexactes, en tot o en part, o incompletes, han de ser cancel·lades i substituïdes d’ofici per les dades corresponents rectificades o completades, sens perjudici de les facultats que l’article 16 reconeix als afectats.
5. Les dades de caràcter personal han de ser cancel·lades quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat recollides o registrades.
8 Vid. article 7 del RD 1720/2007, de 21 de desembre (§2).
9 Vid. RD 424/2005, de 15 d’abril, pel qual s’aprova el Reglament sobre les condicions per a la prestació
de serveis de comunicacions electròniques, el servei universal i la protecció dels usuaris (BOE núm. 102, de 29 d’abril de 2005). 10
Vid. article 8 del RD 1720/2007, de 21 de desembre (§2).
§1
12
No han de ser conservades de manera que permetin identificar l’interessat durant un període superior al necessari per a les finalitats d’acord amb les quals hagin estat recollides o registrades.
S’ha de determinar per reglament el procediment pel qual, com a excepció, atesos els valors històrics, estadístics o científics d’acord amb la legislació específica, es decideixi el manteniment íntegre de determinades dades.
6. Les dades de caràcter personal han de ser emmagatzemades de manera que permetin l’exercici del dret d’accés, llevat que siguin legalment cancel·lades.
7. Es prohibeix la recollida de dades per mitjans fraudulents, deslleials o il·lícits. Article 5. Dret d’informació en la recollida de dades11
1. Els interessats als quals se sol·licitin dades personals han de ser prèviament informats de manera expressa, precisa i inequívoca:
a) De l’existència d’un fitxer o un tractament de dades de caràcter personal, de la finalitat de la recollida de les dades i dels destinataris de la informació.
b) Del caràcter obligatori o facultatiu de la resposta a les preguntes que els siguin plantejades.
c) De les conseqüències de l’obtenció de les dades o de la negativa a subministrar-les.
d) De la possibilitat d’exercir els drets d’accés, rectificació, cancel·lació i oposició. e) De la identitat i la direcció del responsable del tractament o, si s’escau, del seu
representant. Quan el responsable del tractament no estigui establert en el territori de la Unió
Europea i utilitzi en el tractament de dades mitjans situats en territori espanyol, ha de designar, llevat que aquests mitjans s’utilitzin amb finalitats de tràmit, un representant a Espanya, sens perjudici de les accions que es puguin emprendre contra el mateix responsable del tractament.
2. Quan s’utilitzin qüestionaris o altres impresos per a la recollida, han de figurar-hi, de manera clarament llegible, les advertències a què es refereix l’apartat anterior.
3. No és necessària la informació a què es refereixen les lletres b), c) i d) de l’apartat 1 si el contingut de la informació es dedueix clarament de la naturalesa de les dades personals que se sol·liciten o de les circumstàncies en què es recullen.
4. Quan les dades de caràcter personal no hagin estat recollides de l’interessat, aquest ha de ser informat de manera expressa, precisa i inequívoca, pel responsable del fitxer o pel seu representant, dins dels tres mesos següents al moment de registrar les dades, del contingut del tractament, de la procedència de les dades i del que preveuen les lletres a), d) i e) de l’apartat 1 d’aquest article, llevat que ja n’hagi estat informat anteriorment.
5. No és aplicable el que disposa l’apartat anterior quan, de manera expressa, una llei ho prevegi, quan el tractament tingui finalitats històriques, estadístiques o científiques, o quan sigui impossible informar-ne l’interessat o exigeixi esforços desproporcionats, a criteri de l’Agència Espanyola de Protecció de Dades o de l’organisme autonòmic equivalent, en consideració al nombre d’interessats, a l’antiguitat de les dades i a les possibles mesures compensatòries.
11
Vid. articles 18 i 19 del RD 1720/2007, de 21 de desembre (§2).
§1
13
Així mateix, tampoc no regeix el que disposa l’apartat anterior quan les dades procedeixin de fonts accessibles al públic i es destinin a l’activitat de publicitat o prospecció comercial; en aquest cas, en cada comunicació que s’adreci a l’interessat se l’ha d’informar de l’origen de les dades i de la identitat del responsable del tractament, així com dels drets que l’assisteixen. Article 6. Consentiment de l’afectat12
1. El tractament de les dades de caràcter personal requereix el consentiment inequívoc de l’afectat, llevat que la llei disposi una altra cosa.
2. No cal el consentiment quan les dades de caràcter personal es recullin per a l’exercici de les funcions pròpies de les administracions públiques en l’àmbit de les seves competències; quan es refereixin a les parts d’un contracte o un precontracte d’una relació de negoci, laboral o administrativa i siguin necessàries per al seu manteniment o compliment; quan el tractament de les dades tingui com a finalitat protegir un interès vital de l’interessat en els termes de l’article 7, apartat 6, d’aquesta Llei, o quan les dades figurin en fonts accessibles al públic i el seu tractament sigui necessari per a la satisfacció de l’interès legítim perseguit pel responsable del fitxer o pel del tercer a qui es comuniquin les dades, sempre que no es vulnerin els drets i les llibertats fonamentals de l’interessat.
3. El consentiment a què es refereix aquest article pot ser revocat quan hi hagi una causa justificada per fer-ho i no se li atribueixin efectes retroactius.
4. En els casos en què no sigui necessari el consentiment de l’afectat per al tractament de les dades de caràcter personal, i sempre que una llei no disposi el contrari, aquest pot oposar-se al seu tractament quan hi hagi motius fonamentats i legítims relatius a una situació personal concreta. En aquest supòsit, el responsable del fitxer ha d’excloure del tractament les dades relatives a l’afectat.
Article 7. Dades especialment protegides
1. D’acord amb el que estableix l’apartat 2 de l’article 16 de la Constitució, ningú no pot ser obligat a declarar sobre la seva ideologia, religió o creences.
Quan en relació amb aquestes dades es procedeixi a recollir el consentiment a què es refereix l’apartat següent, s’ha d’advertir l’interessat respecte al seu dret a no donar-lo.
2. Només amb el consentiment exprés i per escrit de l’afectat poden ser objecte de tractament les dades de caràcter personal que revelin la ideologia, l’afiliació sindical, la religió i les creences. S’exceptuen els fitxers mantinguts pels partits polítics, els sindicats, les esglésies, les confessions o les comunitats religioses i associacions, les fundacions i altres entitats sense ànim de lucre, amb finalitat política, filosòfica, religiosa o sindical, quant a les dades relatives als seus associats o els seus membres, sens perjudici que la cessió d’aquestes dades requereix sempre el consentiment previ de l’afectat.
3. Les dades de caràcter personal que facin referència a l’origen racial, a la salut i a la vida sexual només poden ser recollides, tractades i cedides quan, per raons d’interès general, així ho disposi una llei o l’afectat hi consenti expressament
12
Vid. articles 10 i 12 a 17 del RD 1720/2007, de 21 de desembre (§2).
§1
14
4. Queden prohibits els fitxers creats amb la finalitat exclusiva d’emmagatzemar dades de caràcter personal que revelin la ideologia, l’afiliació sindical, la religió, les creences, l’origen racial o ètnic, o la vida sexual.
5. Les dades de caràcter personal relatives a la comissió d’infraccions penals o administratives només poden ser incloses en fitxers de les administracions públiques competents en els casos que preveuen les normes reguladores respectives.
6. No obstant el que disposen els apartats anteriors, poden ser objecte de tractament les dades de caràcter personal a què es refereixen els apartats 2 i 3 d’aquest article quan aquest tractament sigui necessari per a la prevenció o per al diagnòstic mèdics, la prestació d’assistència sanitària o de tractaments mèdics o la gestió de serveis sanitaris, sempre que el tractament de dades, l’efectuï un professional sanitari subjecte al secret professional o una altra persona subjecta a una obligació equivalent de secret.
També poden ser objecte de tractament les dades a què es refereix el paràgraf anterior quan el tractament sigui necessari per salvaguardar l’interès vital de l’afectat o d’una altra persona, en cas que l’afectat estigui físicament o jurídicament incapacitat per donar-ne el consentiment. Article 8. Dades relatives a la salut
Sens perjudici del que disposa l’article 11 pel que fa a la cessió, les institucions i els centres sanitaris públics i privats i els professionals corresponents poden procedir al tractament de les dades de caràcter personal relatives a la salut de les persones que hi acudeixin o hi hagin de ser tractades, d’acord amb el que disposa la legislació estatal o autonòmica sobre sanitat. Article 9. Seguretat de les dades
1. El responsable del fitxer i, si s’escau, l’encarregat del tractament han d’adoptar les mesures de caràcter tècnic i organitzatiu necessàries que garanteixin la seguretat de les dades de caràcter personal i n’evitin l’alteració, la pèrdua, el tractament o l’accés no autoritzat, tenint en compte l’estat de la tecnologia, la naturalesa de les dades emmagatzemades i els riscos a què estan exposats, tant si provenen de l’acció humana o del medi físic o natural.
2. No s’han de registrar dades de caràcter personal en fitxers que no compleixin les condicions que es determinin per via reglamentària en relació amb la seva integritat i seguretat i a les dels centres de tractament, locals, equips, sistemes i programes.
3. S’han d’establir per reglament els requisits i les condicions que han de complir els fitxers i les persones que intervinguin en el tractament de les dades a què es refereix l’article 7 d’aquesta Llei.
Article 10. Deure de secret
El responsable del fitxer i els qui intervinguin en qualsevol fase del tractament de les dades de caràcter personal estan obligats al secret professional pel que fa a les dades i al deure de guardar-les, obligacions que subsisteixen fins i tot després de finalitzar les seves relacions amb el titular del fitxer o, si s’escau, amb el seu responsable.
§1
15
Article 11. Comunicació de dades 1. Les dades de caràcter personal objecte del tractament només poden ser
comunicades a un tercer per al compliment de finalitats directament relacionades amb les funcions legítimes del cedent i del cessionari amb el consentiment previ de l’interessat.
2. El consentiment que exigeix l’apartat anterior no és necessari: a) Quan la cessió està autoritzada en una llei. b) Quan es tracti de dades recollides de fonts accessibles al públic. c) Quan el tractament respongui a la lliure i legítima acceptació d’una relació
jurídica el desenvolupament, el compliment i el control de la qual impliqui necessàriament la connexió del tractament esmentat amb fitxers de tercers. En aquest cas, la comunicació només és legítima quan es limiti a la finalitat que la justifiqui.
d) Quan la comunicació que s’hagi d’efectuar tingui com a destinatari el defensor del Poble, el ministeri fiscal o els jutges o tribunals o el Tribunal de Comptes, en l’exercici de les funcions que té atribuïdes. Tampoc no cal el consentiment quan la comunicació tingui com a destinatari institucions autonòmiques amb funcions anàlogues al defensor del Poble o al Tribunal de Comptes.
e) Quan la cessió es produeixi entre administracions públiques i tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.
f) Quan la cessió de dades de caràcter personal relatives a la salut sigui necessària per solucionar una urgència que requereixi accedir a un fitxer o per fer els estudis epidemiològics en els termes que estableix la legislació sobre sanitat estatal o autonòmica.
3. És nul el consentiment per a la comunicació de les dades de caràcter personal a un tercer quan la informació que es proporcioni a l’interessat no li permeti conèixer la finalitat a què destinen les dades la comunicació de les quals s’autoritza o el tipus d’activitat del receptor de la comunicació.
4. El consentiment per a la comunicació de les dades de caràcter personal també té caràcter revocable.
5. El receptor de la comunicació de les dades de caràcter personal s’obliga, pel sol fet de la comunicació, a l’observança de les disposicions d’aquesta Llei.
6. Si la comunicació s’efectua amb el procediment previ de dissociació, no és aplicable el que estableixen els apartats anteriors.
Article 12. Accés a les dades per compte de tercers
1. No es considera comunicació de dades l’accés d’un tercer a les dades quan l’accés sigui necessari per a la prestació d’un servei al responsable del tractament.
2. La realització de tractaments per compte de tercers ha d’estar regulada en un contracte que ha de constar per escrit o en alguna altra forma que permeti acreditar-ne la concertació i el contingut, i s’hi ha d’establir de manera expressa que l’encarregat del tractament només ha de tractar les dades d’acord amb les instruccions del responsable del tractament, que no les pot aplicar ni utilitzar amb una finalitat diferent de la que figuri en el contracte esmentat, ni comunicar-les a altres persones, ni tan sols per conservar-les.
§1
16
El contracte també ha d’estipular les mesures de seguretat a què es refereix l’article 9 d’aquesta Llei que l’encarregat del tractament està obligat a implementar.
3. Una vegada complerta la prestació contractual, les dades de caràcter personal han de ser destruïdes o tornades al responsable del tractament, i també qualsevol suport o document en què consti alguna dada de caràcter personal objecte del tractament.
4. En cas que l’encarregat del tractament destini les dades a una altra finalitat, les comuniqui o les utilitzi incomplint les estipulacions del contracte, també ha de ser considerat responsable del tractament, i ha de respondre de les infraccions en què hagi incorregut personalment.
TÍTOL III DRETS DE LES PERSONES
Article 13. Impugnació de valoracions13
1. Els ciutadans tenen dret a no estar sotmesos a una decisió amb efectes jurídics, sobre ells o que els afecti de manera significativa, que es basi únicament en un tractament de dades destinades a avaluar determinats aspectes de la seva personalitat.
2. L’afectat pot impugnar els actes administratius o les decisions privades que impliquin una valoració del seu comportament, que tinguin com a únic fonament un tractament de dades de caràcter personal que ofereixi una definició de les seves característiques o de la seva personalitat.
3. En aquest cas, l’afectat té dret a obtenir informació del responsable del fitxer sobre els criteris de valoració i el programa utilitzats en el tractament que va servir per adoptar la decisió en què va consistir l’acte.
4. La valoració sobre el comportament dels ciutadans, basada en un tractament de dades, únicament pot tenir valor probatori a petició de l’afectat.
Article 14. Dret de consulta al Registre general de protecció de dades14
Qualsevol persona pot conèixer, recollint amb aquesta finalitat la informació oportuna al Registre general de protecció de dades, l’existència de tractaments de dades de caràcter personal, les seves finalitats i la identitat del responsable del tractament. El Registre general és de consulta pública i gratuïta.
Article 15. Dret d’accés15
1. L’interessat té dret a sol·licitar i obtenir gratuïtament informació de les seves dades de caràcter personal sotmeses a tractament, l’origen de les dades i les comunicacions efectuades o que es prevegin fer.
2. La informació es pot obtenir mitjançant la mera consulta de les dades per mitjà de la visualització, o la indicació de les dades que són objecte de tractament
13
Vid. article 36 del RD 1720/2007, de 21 de desembre (§2). 14
Vid. Resolució d’1 de setembre de 2006, de l’Agència Espanyola de Protecció de Dades, per la qual es determina la informació que conté el Catàleg de fitxers inscrits en el Registre General de Protecció de Dades (BOE núm. 227, de 22 de setembre de 2006). 15
Vid. articles 23 a 30 del RD 1720/2007, de 21 de desembre (§2).
§1
17
mitjançant escrit, còpia, telecòpia o fotocòpia, certificada o no, en forma llegible i intel·ligible, sense utilitzar claus o codis que requereixin l’ús de dispositius mecànics específics.
3. El dret d’accés a què es refereix aquest article només pot ser exercit a intervals no inferiors a dotze mesos, llevat que l’interessat acrediti un interès legítim a aquest efecte, cas en què el poden exercir abans.
Article 16. Dret de rectificació i cancel·lació16
1. El responsable del tractament té l’obligació de fer efectiu el dret de rectificació o cancel·lació de l’interessat en el termini de deu dies.
2. Han de ser rectificades o cancel·lades, si s’escau, les dades de caràcter personal el tractament de les quals no s’ajusti al que disposa aquesta Llei i, en particular, quan aquestes dades siguin inexactes o incompletes.
3. La cancel·lació dóna lloc al bloqueig de les dades, i només s’han de conservar a disposició de les administracions públiques, els jutges i els tribunals, per a l’atenció de les possibles responsabilitats nascudes del tractament, durant el termini de prescripció d’aquestes responsabilitats. Complert aquest termini, s’ha de procedir a la supressió.
4. Si les dades rectificades o cancel·lades han estat comunicades prèviament, el responsable del tractament ha de notificar la rectificació o la cancel·lació efectuada a qui s’hagin comunicat, en cas que aquest últim mantingui el tractament, que també ha de procedir a la cancel·lació.
5. Les dades de caràcter personal han de ser conservades durant els terminis que preveuen les disposicions aplicables o, si s’escau, les relacions contractuals entre la persona o l’entitat responsable del tractament i l’interessat. Article 17. Procediment d’oposició, accés, rectificació o cancel·lació17
1. Els procediments per exercir el dret d’oposició, accés, així com els de rectificació i cancel·lació han de ser establerts per reglament.
2. No s’ha d’exigir cap contraprestació per l’exercici dels drets d’oposició, accés, rectificació o cancel·lació.
Article 18. Tutela dels drets
1. Les actuacions contràries al que disposa aquesta Llei poden ser objecte de reclamació pels interessats davant l’Agència Espanyola de Protecció de Dades, en la forma que es determini per reglament.
2. L’interessat al qual es denegui, totalment o parcialment, l’exercici dels drets d’oposició, accés, rectificació o cancel·lació, ho pot posar en coneixement de l’Agència Espanyola de Protecció de Dades o, si s’escau, de l’organisme competent de cada comunitat autònoma, que s’ha d’assegurar de la procedència o la improcedència de la denegació.
3. El termini màxim en què s’ha de dictar la resolució expressa de tutela de drets és de sis mesos.
4. Contra les resolucions de l’Agència Espanyola de Protecció de Dades es pot presentar recurs contenciós administratiu.
16
Vid. articles 23 a 26 i 31 a 33 del RD 1720/2007, de 21 de desembre (§2). Vid., també, nota 14. 17
Vid. articles 23, 25 i 34 a 36 del RD 1720/2007, de 21 de desembre (§2).
§1
18
Article 19. Dret a indemnització 1. Els interessats que, com a conseqüència de l’incompliment del que disposa
aquesta Llei pel responsable o l’encarregat del tractament, pateixin dany o lesió en els seus béns o drets tenen dret a ser indemnitzats.
2. Quan es tracti de fitxers de titularitat pública, la responsabilitat s’exigeix d’acord amb la legislació reguladora del règim de responsabilitat de les administracions públiques.
3. En el cas dels fitxers de titularitat privada, l’acció s’ha d’exercir davant els òrgans de la jurisdicció ordinària.
TÍTOL IV DISPOSICIONS SECTORIALS18
CAPÍTOL I
FITXERS DE TITULARITAT PÚBLICA
Article 20. Creació, modificació o supressió19 1. La creació, la modificació o la supressió dels fitxers de les administracions
públiques20 només es poden fer per mitjà d’una disposició general21 publicada en el Butlletí Oficial de l’Estat o en el diari oficial corresponent.
2. Les disposicions de creació o de modificació de fitxers han d’indicar: a) La finalitat del fitxer i els usos previstos. b) Les persones o els col·lectius sobre els quals es pretén obtenir dades de caràcter
personal o que estiguin obligats a subministrar-les. c) El procediment de recollida de les dades de caràcter personal. d) L’estructura bàsica del fitxer i la descripció dels tipus de dades de caràcter
personal incloses en el mateix fitxer. e) Les cessions de dades de caràcter personal i, si s’escau, les transferències de
dades que es prevegin a països tercers. f) Els òrgans de les administracions responsables del fitxer. g) Els serveis o les unitats davant els quals es puguin exercir els drets d’accés,
rectificació, cancel·lació i oposició. h) Les mesures de seguretat amb indicació del nivell bàsic, mitjà o alt exigible. 3. En les disposicions que es dictin per a la supressió dels fitxers, se n’ha d’establir
el destí o, si s’escau, les previsions que s’adoptin per destruir-los.
18
D’acord amb la DF 2a d’aquesta Llei, tots els articles d’aquest títol tenen el caràcter de llei ordinària. 19
Vid. RD 1720/2007, de 21 de desembre (§2), en concret els articles 52 a 54 quant a la creació, modificació o supressió, i els articles 55 a 63 pel que fa a la notificació i inscripció; vid., també, article 2 del Decret 90/2006, de 20 d’octubre (§3) i la Resolució de 30 de maig de 2000, de l’Agència de Protecció de Dades, per la qual s’aproven els models normalitzats en suport paper, magnètic i telemàtic a través dels quals s’han d’efectuar les sol·licituds d’inscripció en el Registre General de Protecció de Dades (BOE núm. 153, de 27 de juny de 2000). 20
Vid. article 31.14 de l’EAIB, esmentat en la nota 2. 21
En l’àmbit de la comunitat autònoma de les Illes Balears, quant a la potestat reglamentària, vid. articles 38 al 47 de la Llei 4/2001, de 14 de març, del Govern de les Illes Balears (BOIB núm. 35, de 22 de març de 2001).
§1
19
Article 21. Comunicació de dades entre administracions públiques 1. Les dades de caràcter personal recollides o elaborades per les administracions
públiques per a l’exercici de les seves atribucions no han de ser comunicades a altres administracions públiques per a l’exercici de competències diferents o de competències que tractin matèries diferents, excepte quan la comunicació hagi estat prevista per les disposicions de creació del fitxer o per una disposició de rang superior que en reguli l’ús, o22 quan la comunicació tingui com a objecte el tractament posterior de les dades amb finalitats històriques, estadístiques o científiques.
2. En tot cas, poden ser objecte de comunicació les dades de caràcter personal que una administració pública obtingui o elabori amb destinació a una altra.
3. No obstant el que estableix l’article 11.2.b), la comunicació de dades recollides de fonts accessibles al públic no es pot efectuar a fitxers de titularitat privada, si no és amb el consentiment de l’interessat o quan una llei prevegi una altra cosa.
4. En els supòsits que preveuen els apartats 1 i 2 d’aquest article no és necessari el consentiment de l’afectat a què es refereix l’article 11 d’aquesta Llei.
Article 22. Fitxers de les Forces i els Cossos de Seguretat
1. Els fitxers creats per les Forces i els Cossos de Seguretat que continguin dades de caràcter personal que, pel fet d’haver-se recollit per a finalitats administratives, han de ser objecte de registre permanent, estan subjectes al règim general d’aquesta Llei.
2. La recollida i el tractament per a finalitats policials de dades de caràcter personal per les Forces i els Cossos de Seguretat sense el consentiment de les persones afectades estan limitats a aquells supòsits i aquelles categories de dades que siguin necessaris per a la prevenció d’un perill real per a la seguretat pública o per a la repressió d’infraccions penals, i han de ser emmagatzemades en fitxers específics establerts a aquest efecte, que s’han de classificar per categories en funció del grau de fiabilitat.
3. La recollida i el tractament per les Forces i els Cossos de Seguretat de les dades a què fan referència els apartats 2 i 3 de l’article 7 es poden fer exclusivament en els supòsits en què sigui absolutament necessari per a les finalitats d’una investigació concreta, sens perjudici del control de legalitat de l’actuació administrativa o de l’obligació de resoldre les pretensions formulades, si s’escau, pels interessats que corresponen als òrgans jurisdiccionals.
4. Les dades personals registrades amb finalitats policials s’han de cancel·lar quan no siguin necessàries per a les investigacions que n’hagin motivat l’emmagatzematge.
A aquests efectes, s’ha de considerar especialment l’edat de l’afectat i el caràcter de les dades emmagatzemades, la necessitat de mantenir les dades fins a la conclusió d’una investigació o un procediment concret, la resolució judicial ferma, especialment l’absolutòria, l’indult, la rehabilitació i la prescripció de responsabilitat.
Article 23. Excepcions als drets d’accés, rectificació i cancel·lació
1. Els responsables dels fitxers que continguin les dades a què es refereixen els apartats 2,3 i 4 de l’article anterior poden denegar l’accés, la rectificació o la cancel·lació en funció dels perills que es puguin derivar per a la defensa de l’Estat o la
22
Incís declarat inconstitucional i nul per la STC 292/2000, de 30 de novembre, esmentada en la nota 1.
§1
20
seguretat pública, la protecció dels drets i les llibertats de tercers o les necessitats de les investigacions que s’estiguin duent a terme.
2. Els responsables dels fitxers de la Hisenda Pública també poden denegar l’exercici dels drets a què es refereix l’apartat anterior quan això obstaculitzi les actuacions administratives tendents a assegurar el compliment de les obligacions tributàries i, en tot cas, quan l’afectat estigui sent objecte d’actuacions inspectores.
3. L’afectat al qual es denegui, totalment o parcialment, l’exercici dels drets esmentats en els apartats anteriors ho pot posar en coneixement del director de l’Agència Espanyola de Protecció de Dades o de l’organisme competent de cada comunitat autònoma en el cas de fitxers mantinguts per cossos de policia propis d’aquestes comunitats, o per les administracions tributàries autonòmiques, els quals s’han d’assegurar de la procedència o improcedència de la denegació.
Article 24. Altres excepcions als drets dels afectats23
1. El que disposen els apartats 1 i 2 de l’article 5 no és aplicable a la recollida de dades quan el fet d’informar-ne l’afectat impedeixi o dificulti greument el compliment de les funcions de control i verificació de les administracions públiques o quan afecti la Defensa Nacional, la seguretat pública o la persecució d’infraccions penals o administratives.
2. (Anul·lat)
CAPÍTOL II FITXERS DE TITULARITAT PRIVADA
Article 25. Creació Es poden crear fitxers de titularitat privada que continguin dades de caràcter
personal quan sigui necessari per aconseguir l’activitat o l’objecte legítims de la persona, l’empresa o l’entitat titular i es respectin les garanties que aquesta Llei estableix per a la protecció de les persones.
Article 26. Notificació i inscripció registral24
1. Qualsevol persona o entitat que procedeixi a la creació de fitxers de dades de caràcter personal ho ha de notificar prèviament a l’Agència Espanyola de Protecció de Dades.
2. Per la via reglamentària s’ha de procedir a la regulació detallada dels diferents aspectes que ha de contenir la notificació, entre els quals han de figurar necessàriament el responsable del fitxer, la finalitat, la ubicació, el tipus de dades de caràcter personal que conté, les mesures de seguretat, amb indicació del nivell bàsic, mitjà o alt exigible i les cessions de dades de caràcter personal que es prevegin realitzar i, si s’escau, les transferències de dades que es prevegin a països tercers.
23
El text que apareix en cursiva i tot l’apartat 2 han estat declarats inconstitucionals i nuls per la STC 292/2000, de 30 de novembre, esmentada en la nota 1. 24
Vid. articles 55 a 64 del RD 1720/2007, de 21 de desembre (§2), tant pel que fa a fitxers de titularitat pública com privada, i la Resolució de 30 de maig de 2000, de l’Agència de Protecció de Dades, esmentada en la nota 19.
§1
21
3. S’han de comunicar a l’Agència Espanyola de Protecció de Dades els canvis que es produeixin en la finalitat del fitxer automatitzat, en el seu responsable i en l’adreça de la seva ubicació.
4. El Registre general de protecció de dades ha d’inscriure el fitxer si la notificació s’ajusta als requisits exigibles.
En cas contrari pot demanar que es completin les dades que faltin o que s’esmenin. 5. Transcorregut un mes des de la presentació de la sol·licitud d’inscripció sense
que l’Agència Espanyola de Protecció de Dades hagi emès resolució sobre la sol·licitud, s’entén inscrit el fitxer automatitzat amb caràcter general. Article 27. Comunicació de la cessió de dades
1. El responsable del fitxer, en el moment en què s’efectuï la primera cessió de dades, ha d’informar-ne els afectats, indicant-hi, també, la finalitat del fitxer, la naturalesa de les dades que han estat cedides i el nom i l’adreça del cessionari.
2. L’obligació que estableix l’apartat anterior no existeix en el supòsit que preveuen els apartats 2, lletres c), d), e) i 6 de l’article 11, ni quan la cessió estigui imposada per llei. Article 28. Dades incloses en les fonts d’accés públic
1. Les dades personals que figurin en el cens promocional, o les llistes de persones que pertanyin a grups de professionals a què es refereix l’article 3.j) d’aquesta Llei s’han de limitar a les que siguin estrictament necessàries per complir la finalitat a què es destina cada llistat. La inclusió de dades addicionals per les entitats responsables del manteniment d’aquestes fonts requereix el consentiment de l’interessat, que pot ser revocat en qualsevol moment.
2. Els interessats tenen dret que l’entitat responsable del manteniment dels llistats dels col·legis professionals indiqui gratuïtament que les seves dades personals no es poden utilitzar per a finalitats de publicitat o prospecció comercial.
Els interessats tenen dret a exigir gratuïtament l’exclusió de la totalitat de les seves dades personals que constin en el cens promocional per les entitats encarregades del manteniment d’aquestes fonts.
L’atenció a la sol·licitud d’exclusió de la informació innecessària o d’inclusió de l’objecció a l’ús de les dades per a finalitats de publicitat o venda a distància s’ha de fer en el termini de deu dies pel que fa a les informacions que s’efectuïn mitjançant consulta o comunicació telemàtica i en la edició següent del llistat sigui quin sigui el suport en què s’editi.
3. Les fonts d’accés públic que s’editin en forma de llibre o algun altre suport físic perden el caràcter de font accessible amb la nova edició que es publiqui.
En cas que s’obtingui telemàticament una còpia de la llista en format electrònic, aquesta perd el caràcter de font d’accés públic en el termini d’un any, a comptar des del moment d’obtenir-la.
4. Les dades que figurin en les guies de serveis de telecomunicacions disponibles al públic es regeixen per la seva normativa específica.
§1
22
Article 29. Prestació de serveis d’informació sobre solvència patrimonial i crèdit25
1. Els qui es dediquin a la prestació de serveis d’informació sobre la solvència patrimonial i el crèdit només poden tractar dades de caràcter personal obtingudes dels registres i les fonts accessibles al públic establerts a aquest efecte o procedents d’informacions facilitades per l’interessat o amb el seu consentiment.
2. També es poden tractar dades de caràcter personal relatives al compliment o l’incompliment d’obligacions dineràries facilitades pel creditor o per qui actuï pel seu compte o interès. En aquests casos, s’ha de notificar als interessats pel que fa als que hagin registrat dades de caràcter personal en fitxers, en el termini de trenta dies des del registre esmentat, una referència dels que hi hagin estat inclosos i se’ls ha d’informar del seu dret a recollir informació de tots ells, en els termes que estableix aquesta Llei.
3. En els supòsits a què es refereixen els dos apartats anteriors, quan l’interessat ho sol·liciti, el responsable del tractament li ha de comunicar les dades, i també les avaluacions i les apreciacions que sobre ell li hagin estat comunicades durant els últims sis mesos, i el nom i l’adreça de la persona o l’entitat a qui s’hagin revelat les dades.
4. Només es poden registrar i cedir les dades de caràcter personal que siguin determinants per enjudiciar la solvència econòmica dels interessats i que no es refereixin, quan siguin adverses, a més de sis anys, sempre que responguin amb veracitat a la situació actual dels interessats. Article 30. Tractaments amb finalitats de publicitat i de prospecció comercial26
1. Els qui es dediquin a la recopilació d’adreces, repartiment de documents, publicitat, venda a distància, prospecció comercial i altres activitats anàlogues poden utilitzar els noms, les adreces o altres dades de caràcter personal quan figurin en fonts accessibles al públic o quan hagin estat facilitats pels mateixos interessats o s’hagin obtingut amb el seu consentiment.
2. Quan les dades procedeixin de fonts accessibles al públic, de conformitat amb el que estableix el paràgraf segon de l’article 5.5 d’aquesta Llei, en cada comunicació que s’adreci a l’interessat s’ha d’informar de l’origen de les dades i de la identitat del responsable del tractament, així com dels drets que l’assisteixen.
3. En l’exercici del dret d’accés, els interessats tenen dret a conèixer l’origen de les seves dades de caràcter personal, així com de la resta d’informació a què es refereix l’article 15.
4. Els interessats tenen el dret d’oposar-se, amb la petició prèvia i sense despeses, al tractament de les dades que els concerneixin, cas en el qual han de ser donats de baixa del tractament i s’han de cancel·lar les informacions que sobre els interessats figurin en el tractament, amb la simple sol·licitud. Article 31. Cens promocional
1. Els qui vulguin exercir de manera permanent o esporàdica l’activitat de recopilació d’adreces, repartiment de documents, publicitat, venda a distància, prospecció comercial o altres activitats anàlogues, poden sol·licitar a l’Institut Nacional d’Estadística o als òrgans equivalents de les comunitats autònomes una còpia del cens
25
Vid. articles 37 a 44 del RD 1720/2007, de 21 de desembre (§2). 26
Vid. articles 45 a 51 del RD 1720/2007, de 21 de desembre (§2).
§1
23
promocional, format amb les dades de nom, cognoms i domicili que consten en el cens electoral.
2. L’ús de cada llista de cens promocional té un termini de vigència d’un any. Transcorregut aquest termini, la llista perd el seu caràcter de font d’accés públic.
3. Els procediments mitjançant els quals els interessats poden sol·licitar no constar en el cens promocional s’han de regular per reglament. Entre aquests procediments, que han de ser gratuïts per als interessats, s’ha d’incloure el document d’empadronament. Trimestralment s’ha d’editar una llista actualitzada del cens promocional en què s’excloguin els noms i les adreces dels que així ho hagin sol·licitat.
4. Es pot exigir una contraprestació per facilitar la llista en suport informàtic. Article 32. Codis tipus27
1. Mitjançant acords sectorials, convenis administratius o decisions d’empresa, els responsables de tractaments de titularitat pública i privada, així com les organitzacions en què s’agrupin, poden formular codis tipus que estableixin les condicions d’organització, règim de funcionament, procediments aplicables, normes de seguretat de l’entorn, programes o equips, obligacions dels implicats en el tractament i ús de la informació personal, així com les garanties, en el seu àmbit, per a l’exercici dels drets de les persones, amb ple respecte als principis i les disposicions d’aquesta Llei i les seves normes de desplegament.
2. Aquests codis poden contenir o no regles operacionals detallades de cada sistema particular i estàndards tècnics d’aplicació.
En el cas que aquestes regles o estàndards no s’incorporin directament al codi, les instruccions o les ordres que els estableixin han de respectar els principis que fixi el codi.
3. Els codis tipus tenen el caràcter de codis deontològics o de bona pràctica professional, i han de ser dipositats o inscrits en el Registre general de protecció de dades i, quan correspongui, en els creats a aquests efectes per les comunitats autònomes, d’acord amb l’article 41. El Registre general de protecció de dades pot denegar-ne la inscripció quan consideri que no s’ajusta a les disposicions legals i reglamentàries sobre la matèria, i, en aquest cas, el director de l’Agència Espanyola de Protecció de Dades ha de requerir els sol·licitants perquè facin les correccions oportunes.
TÍTOL V MOVIMENT INTERNACIONAL DE DADES28
Article 33. Norma general
1. No es poden fer transferències temporals ni definitives de dades de caràcter personal que hagin estat objecte de tractament o hagin estat recollides per sotmetre-les al tractament esmentat amb destinació a països que no proporcionin un nivell de protecció equiparable al que presta aquesta Llei, llevat que, a més a més d’haver-se
27
Vid. articles 71 a 78 del RD 1720/2007, de 21 de desembre (§2). 28
Vid. Instrucció 1/2000, d’1 de desembre, de l’Agència de Protecció de Dades, relativa a les normes per les quals es regeixen els moviments internacionals de dades (BOE núm. 301, de 16 de desembre de 2000).
§1
24
observat el que disposa aquesta Llei, s’obtingui l’autorització prèvia del director de l’Agència Espanyola de Protecció de Dades, que només la pot atorgar si s’obtenen garanties adequades.
2. El caràcter adequat del nivell de protecció que ofereix el país de destinació, l’avalua l’Agència Espanyola de Protecció de Dades atenent totes les circumstàncies que concorrin en la transferència o la categoria de transferència de dades. En particular, cal tenir en consideració la naturalesa de les dades, la finalitat i la durada del tractament o dels tractaments previstos, el país d’origen i el país de destinació final, les normes de dret, generals o sectorials, vigents en el país tercer de què es tracti, el contingut dels informes de la Comissió de la Unió Europea, així com les normes professionals i les mesures de seguretat en vigor en aquests països. Article 34. Excepcions
El que disposa l’article anterior no és aplicable: a) Quan la transferència internacional de dades de caràcter personal resulti de
l’aplicació de tractats o convenis en què Espanya sigui part. b) Quan la transferència es faci a efectes de prestar o sol·licitar auxili judicial
internacional. c) Quan la transferència sigui necessària per a la prevenció o per al diagnòstic
mèdics, la prestació d’assistència sanitària o tractament mèdics o la gestió de serveis sanitaris.
d) Quan es refereixi a transferències dineràries d’acord amb la legislació específica. e) Quan l’afectat hagi donat el seu consentiment inequívoc a la transferència
prevista. f) Quan la transferència sigui necessària per a l’execució d’un contracte entre
l’afectat i el responsable del fitxer o per a l’adopció de mesures precontractuals adoptades a petició de l’afectat.
g) Quan la transferència sigui necessària per a la subscripció o l’execució d’un contracte subscrit o per subscriure, en interès de l’afectat, pel responsable del fitxer i un tercer.
h) Quan la transferència sigui necessària o legalment exigida per salvaguardar un interès públic. Té aquesta consideració la transferència sol·licitada per una administració fiscal o duanera per al compliment de les seves competències.
i) Quan la transferència sigui necessària per al reconeixement, l’exercici o la defensa d’un dret en un procés judicial.
j) Quan la transferència s’efectuï, a petició d’una persona amb interès legítim, des d’un registre públic i aquella estigui d’acord amb la finalitat del registre.
k) Quan la transferència tingui com a destinació un estat membre de la Unió Europea, o un estat respecte del qual la Comissió de les Comunitats Europees, en l’exercici de les seves competències, hagi declarat que garanteix un nivell de protecció adequat.
§1
25
TÍTOL VI AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES29
Article 35. Naturalesa i règim jurídic
1. L’Agència Espanyola de Protecció de Dades és un ens de dret públic, amb personalitat jurídica pròpia i plena capacitat pública i privada, que actua amb plena independència de les administracions públiques en l’exercici de les seves funcions. Es regeix pel que disposen aquesta Llei i un estatut propi, que ha de ser aprovat pel Govern.30
2. En l’exercici de les seves funcions públiques, i en defecte del que disposin aquesta Llei i les seves disposicions de desplegament, l’Agència Espanyola de Protecció de Dades ha d’actuar d’acord amb la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú. En les seves adquisicions patrimonials i contractació està subjecta al dret privat.
3. Els llocs de treball dels òrgans i serveis que integrin l’Agència Espanyola de Protecció de Dades han de ser ocupats per funcionaris de les administracions públiques i per personal contractat a aquest efecte, segons la naturalesa de les funcions assignades a cada lloc de treball. Aquest personal està obligat a guardar secret de les dades de caràcter personal que conegui en l’exercici de la seva funció.
4. L’Agència Espanyola de Protecció de Dades ha de disposar, per al compliment de les seves finalitats, dels béns i mitjans econòmics següents:
a) Les assignacions que s’estableixin anualment amb càrrec als pressupostos generals de l’Estat.
b) Els béns i els valors que constitueixin el seu patrimoni, així com els productes i les rendes del mateix patrimoni.
c) Qualsevol altre que legalment li pugui ser atribuït. 5. L’Agència Espanyola de Protecció de Dades ha d’elaborar i aprovar amb caràcter
anual el corresponent avantprojecte de pressupost i l’ha de remetre al Govern perquè sigui integrat, amb la independència deguda, en els pressupostos generals de l’Estat. Article 36. El director
1. El director de l’Agència Espanyola de Protecció de Dades dirigeix l’Agència i n’exerceix la representació. És nomenat, d’entre els qui componen el Consell Consultiu, mitjançant reial decret, per un període de quatre anys.
2. Exerceix les funcions amb plena independència i objectivitat, i no està subjecte a cap instrucció en l’exercici de les seves funcions.
En tot cas, el director ha d’escoltar el Consell Consultiu en les propostes que li faci en l’exercici de les seves funcions.
3. El director de l’Agència Espanyola de Protecció de Dades només cessa abans de l’expiració del període a què es refereix l’apartat 1, a petició pròpia o per separació
29
D’acord amb la DF 2a d’aquesta Llei, tots els articles d’aquest títol, llevat de l’últim incís de l’apartat 4 de l’article 36, tenen el caràcter de llei ordinària. 30
Vid. RD 428/1993, de 26 de març, pel qual s’aprova l’Estatut de l’Agència de Protecció de Dades (BOE núm. 106, de 4 de maig de 1993), modificat pel RD 156/1996, de 2 de febrer, per designar l’Agència de Protecció de Dades com a representant espanyol en el grup de protecció de persones previst en la Directiva 95/46/CE, de 24 d’octubre (BOE núm. 37, de 12 de febrer de 1996), i pel RD 1665/2008, de 17 d’octubre (BOE núm. 267, de 5 de novembre de 2008).
§1
26
acordada pel Govern, amb la instrucció prèvia d’un expedient, en el qual han de ser escoltats necessàriament els altres membres del Consell Consultiu, per incompliment greu de les seves obligacions, incapacitat sobrevinguda per a l’exercici de la seva funció, incompatibilitat o condemna per delicte dolós.
4. El director de l’Agència Espanyola de Protecció de Dades té la consideració d’alt càrrec i queda en la situació de serveis especials si anteriorment exercia una funció pública. En cas que sigui nomenat per al càrrec algun membre de la carrera judicial o fiscal, també passa a la situació administrativa de serveis especials.31 Article 37. Funcions
1. Són funcions de l’Agència Espanyola de Protecció de Dades: a) Vetllar pel compliment de la legislació sobre protecció de dades i controlar-ne
l’aplicació, especialment pel que fa als drets d’informació, accés, rectificació, oposició i cancel·lació de dades.
b) Emetre les autoritzacions que preveuen la Llei o les seves disposicions reglamentàries.
c) Dictar, si s’escau, i sens perjudici de les competències d’altres òrgans, les instruccions necessàries per adequar els tractaments als principis d’aquesta Llei.
d) Atendre les peticions i les reclamacions formulades per les persones afectades. e) Proporcionar informació a les persones respecte als seus drets en matèria de
tractament de les dades de caràcter personal. f) Requerir als responsables i els encarregats dels tractaments, amb l’audiència
prèvia d’aquests, l’adopció de les mesures necessàries per a l’adequació del tractament de dades a les disposicions d’aquesta Llei i, si s’escau, ordenar la cessació dels tractaments i la cancel·lació dels fitxers, quan no s’ajusti a les seves disposicions.
g) Exercir la potestat sancionadora en els termes que preveu el títol VII d’aquesta Llei.
h) Emetre informe, amb caràcter preceptiu, sobre els projectes de disposicions generals que despleguin aquesta Llei.
i) Recollir dels responsables dels fitxers tota l’ajuda i la informació que consideri necessària per a l’exercici de les seves funcions.
j) Vetllar per la publicitat de l’existència dels fitxers de dades amb caràcter personal; a aquest efecte, ha de publicar periòdicament una relació dels fitxers esmentats amb la informació addicional que el director de l’Agència determini.
k) Redactar una memòria anual i remetre-la al Ministeri de Justícia. l) Exercir el control i adoptar les autoritzacions que siguin procedents en relació
amb els moviments internacionals de dades, així com exercir les funcions de cooperació internacional en matèria de protecció de dades personals.
m) Vetllar pel compliment de les disposicions que la Llei de la funció estadística pública estableix respecte a la recollida de dades estadístiques i al secret estadístic, així com dictar les instruccions necessàries, dictaminar sobre les condicions de seguretat dels fitxers constituïts amb finalitats exclusivament estadístiques i exercir la potestat a la qual es refereix l’article 46.
n) Totes les altres que li siguin atribuïdes per normes legals o reglamentàries.
31
D’acord amb la DF 2a d’aquesta Llei, el darrer incís d’aquest apartat té el caràcter de llei orgànica.
§1
27
2. Les resolucions de l’Agència Espanyola de Protecció de Dades32 s’han de fer públiques, una vegada hagin estat notificades als interessats. La publicació s’ha de fer preferentment a través de mitjans informàtics o telemàtics.
Reglamentàriament es poden establir els termes en què es dugui a terme la publicitat de les resolucions esmentades.
El que estableixen els paràgrafs anteriors no és aplicable a les resolucions referents a la inscripció d’un fitxer o tractament en el Registre general de protecció de dades ni a aquelles per a les quals s’hi resolgui la inscripció dels codis tipus, que regula l’article 32 d’aquesta Llei orgànica.33 Article 38. Consell Consultiu
El director de l’Agència Espanyola de Protecció de Dades està assessorat per un Consell Consultiu compost pels membres següents:
Un diputat, proposat pel Congrés dels Diputats. Un senador, proposat pel Senat. Un representant de l’Administració central, designat pel Govern. Un representant de l’Administració local, proposat per la Federació Espanyola de Municipis i Províncies. Un membre de la Reial Acadèmia de la Història, proposat per aquesta. Un expert en la matèria, proposat pel Consell Superior d’Universitats. Un representant dels usuaris i consumidors, seleccionat de la manera que es prevegi per reglament. Un representant de cada comunitat autònoma que hagi creat una Agència Espanyola de Protecció de Dades en el seu àmbit territorial, proposat d’acord amb el procediment que estableixi la comunitat autònoma respectiva. Un representant del sector de fitxers privats, per a la proposta del qual s’ha de seguir el procediment que es reguli per reglament. El funcionament del Consell Consultiu es regeix per les normes reglamentàries que
s’estableixin a aquest efecte. Article 39. El Registre General de Protecció de Dades
1. El Registre general de protecció de dades és un òrgan integrat a l’Agència Espanyola de Protecció de Dades.
2. Són objecte d’inscripció en el Registre General de Protecció de Dades:
32
Vid. les següents instruccions de l’Agència Espanyola de Protecció de Dades aprovades amb anterioritat a l’aprovació del RD 1720/2007, de 21 de desembre (§2), que continuen en vigor: Instrucció 2/1995, de 4 de maig, de l’Agència de Protecció de Dades, sobre mesures que garanteixen la intimitat de les dades personals recollides com a conseqüència de la contractació d’una assegurança de vida de forma conjunta amb la concessió d’un crèdit hipotecari o personal (BOE núm. 110, de 9 de maig de 1995); Instrucció 1/1996, d’1 de març, de l’Agència de Protecció de Dades, sobre fitxers automatitzats establerts amb la finalitat de controlar l’accés als edificis (BOE núm. 62, de 12 de març de 1996); Instrucció 2/1996, d’1 de març, de l’Agència de Protecció de Dades, sobre fitxers automatitzats establerts amb la finalitat de controlar l’accés als casinos i sales de bingo (BOE núm. 62, de 12 de març de 1996); Instrucció 1/2004, de 22 de desembre, de l’Agència Espanyola de Protecció de Dades sobre publicació de les seves resolucions (BOE núm. 4, de 5 de gener de 2005), i Instrucció 1/2006, de 8 de novembre, de l’Agència Espanyola de Protecció de Dades, sobre el tractament de dades personals amb fins de vigilància a través de sistemes de càmeres o videocàmeres (BOE núm. 296, de 12 de desembre de 2006). Aquestes instruccions poden ser consultades a la pàgina web de l’Agència www.agpd.es. 33
Apartat 2 afegit per la Llei 62/2003, de 30 de desembre, esmentada en la nota 1.
§1
28
a) Els fitxers de què siguin titulars les administracions públiques. b) Els fitxers de titularitat privada. c) Les autoritzacions a què es refereix aquesta Llei. d) Els codis tipus a què es refereix l’article 32 d’aquesta Llei. e) Les dades relatives als fitxers que siguin necessàries per a l’exercici dels drets
d’informació, accés, rectificació, cancel·lació i oposició. 3. Per via reglamentària s’ha de regular el procediment d’inscripció dels fitxers, tant
de titularitat pública com de titularitat privada, en el Registre General de Protecció de Dades, el contingut de la inscripció, la seva modificació, la cancel·lació, les reclamacions i els recursos contra les resolucions corresponents i altres aspectes pertinents.34 Article 40. Potestat d’inspecció
1. Les autoritats de control poden inspeccionar els fitxers a què fa referència aquesta Llei i recollir tota la informació que requereixin per al compliment de les seves comeses.
A aquest efecte, poden sol·licitar l’exhibició o l’enviament de documents i dades, i examinar-los en el lloc en què estiguin dipositats, així com inspeccionar els equips físics i lògics utilitzats per al tractament de les dades, i accedir als locals on estiguin instal·lats.
2. Els funcionaris que exerceixin la inspecció a què es refereix l’apartat anterior tenen la consideració d’autoritat pública en l’exercici de les seves comeses.
Estan obligats a guardar secret sobre les informacions que coneguin en l’exercici de les funcions esmentades, fins i tot després d’haver-ne cessat. Article 41. Òrgans corresponents de les comunitats autònomes35
1. Les funcions de l’Agència Espanyola de Protecció de Dades que regula l’article 37, excepte les esmentades en els apartats j), k) i l), i en els apartats f) i g) pel que fa a les transferències internacionals de dades, així com els articles 46 i 49, en relació amb les seves competències específiques han de ser exercides, quan afectin fitxers de dades de caràcter personal creats o gestionats per les comunitats autònomes i per l’Administració local del seu àmbit territorial, pels òrgans corresponents de cada comunitat, que tenen la consideració d’autoritats de control, als quals han de garantir plena independència i objectivitat en l’exercici de la seva comesa.
2. Les comunitats autònomes poden crear i mantenir els seus propis registres de fitxers per a l’exercici de les competències que se’ls reconeix sobre els fitxers.
3. El director de l’Agència Espanyola de Protecció de Dades pot convocar regularment els òrgans corresponents de les comunitats autònomes a efectes de cooperació institucional i coordinació de criteris o procediments d’actuació. El director de l’Agència Espanyola de Protecció de Dades i els òrgans corresponents de les comunitats autònomes poden sol·licitar-se mútuament la informació necessària per al compliment de les seves funcions.
34
Vid. article 130 i següents del RD 1720/2007, de 21 de desembre (§2). 35
Actualment no hi cap òrgan de control a la comunitat autònoma de les Illes Balears anàleg a l’Agència Espanyola de Protecció de Dades.
§1
29
Article 42. Fitxers de les comunitats autònomes en matèria de la seva competència exclusiva
1. Quan el director de l’Agència Espanyola de Protecció de Dades constati que el manteniment o l’ús d’un determinat fitxer de les comunitats autònomes contravé a algun precepte d’aquesta Llei en matèria de la seva competència exclusiva pot requerir a l’Administració corresponent que adopti les mesures correctores que determini en el termini que es fixi expressament en el requeriment.
2. Si l’Administració pública corresponent no compleix el requeriment formulat, el director de l’Agència Espanyola de Protecció de Dades pot impugnar la resolució adoptada per aquella Administració.
TÍTOL VII INFRACCIONS I SANCIONS36
Article 43. Responsables
1. Els responsables dels fitxers i els encarregats dels tractaments estan subjectes al règim sancionador que estableix aquesta Llei.
2. Quan es tracti de fitxers de titularitat pública cal atenir-se, quant al procediment i a les sancions, al que disposen els articles 46 i 48 d’aquesta Llei.37 Article 44. Tipus d’infraccions38
1. Les infraccions es qualifiquen de lleus, greus o molt greus. 2. Són infraccions lleus: a) No trametre a l’Agència Espanyola de Protecció de Dades les notificacions
previstes en aquesta Llei o en les seves disposicions de desplegament. b) No sol·licitar la inscripció del fitxer de dades de caràcter personal en el Registre
general de protecció de dades. c) L’incompliment del deure d’informació a l’afectat sobre el tractament de les
seves dades de caràcter personal quan les dades siguin obtingudes del mateix interessat.
d) La transmissió de les dades a un encarregat del tractament sense donar compliment als deures formals que estableix l’article 12 d’aquesta Llei.
3. Són infraccions greus: a) Crear fitxers de titularitat pública o iniciar la recollida de dades de caràcter
personal per a aquests, sense autorització de disposició general, publicada en el Butlletí Oficial de l’Estat o diari oficial corresponent.
b) Tractar dades de caràcter personal sense demanar el consentiment de les persones afectades, quan aquest sigui necessari de conformitat amb el que disposen aquesta Llei i les seves disposicions de desplegament.
c) Tractar dades de caràcter personal o utilitzar-les posteriorment amb conculcació dels principis i les garanties que estableixen l’article 4 d’aquesta Llei i les
36
D’acord amb la DF 2a d’aquesta Llei, tots els articles d’aquest títol tenen el caràcter de llei ordinària. 37
Apartat modificat per la Llei 2/2011, de 4 de març, esmentada en la nota 1. 38
Apartats 2 a 4 modificats per la Llei 2/2011, de 4 de març, esmentada en la nota 1.
§1
30
disposicions que el despleguen, excepte quan sigui constitutiu d’infracció molt greu.
d) La vulneració del deure de guardar secret sobre el tractament de les dades de caràcter personal al qual es refereix l’article 10 d’aquesta Llei.
e) L’impediment o l’obstaculització de l’exercici dels drets d’accés, rectificació, cancel·lació i oposició.
f) L’incompliment del deure d’informació a l’afectat sobre el tractament de les seves dades de caràcter personal quan les dades no s’hagin aconseguit del mateix interessat.
g) L’incompliment dels altres deures de notificació o requeriment a l’afectat imposats per aquesta Llei i les seves disposicions de desplegament.
h) Mantenir els fitxers, locals, programes o equips que continguin dades de caràcter personal sense les degudes condicions de seguretat que es determinin per via reglamentària.
i) No atendre els requeriments o les advertències de l’Agència Espanyola de Protecció de Dades o no proporcionar-li tots els documents i informacions que sol·liciti.
j) L’obstrucció a l’exercici de la funció inspectora. k) La comunicació o cessió de les dades de caràcter personal sense comptar amb
legitimació per a això en els termes que preveuen aquesta Llei i les seves disposicions reglamentàries de desplegament, llevat que aquesta sigui constitutiva d’infracció molt greu.
4. Són infraccions molt greus: a) La recollida de dades de manera enganyosa o fraudulenta. b) Tractar o cedir les dades de caràcter personal a què es refereixen els apartats 2,
3 i 5 de l’article 7 d’aquesta Llei excepte en els supòsits en què ho autoritza la mateixa Llei o violentar la prohibició que conté l’apartat 4 de l’article 7.
c) No cessar en el tractament il·lícit de dades de caràcter personal quan hi hagi un requeriment previ del director de l’Agència Espanyola de Protecció de Dades en aquest sentit.
d) La transferència internacional de dades de caràcter personal amb destinació a països que no proporcionin un nivell de protecció equiparable sense autorització del director de l’Agència Espanyola de Protecció de Dades, excepte en els supòsits en què de conformitat amb aquesta Llei i les seves disposicions de desplegament no és necessària l’autorització.
Article 45. Tipus de sancions 39
1. Les infraccions lleus se sancionen amb una multa de 900 a 40.000 euros. 2. Les infraccions greus se sancionen amb una multa de 40.001 a 300.000 euros. 3. Les infraccions molt greus se sancionen amb una multa de 300.001 a 600.000
euros. 4. La quantia de les sancions es gradua atenent els criteris següents: a) El caràcter continuat de la infracció. b) El volum dels tractaments efectuats.
39
Apartats 1 a 5 modificats per la Llei 2/2011, de 4 de març, esmentada en la nota 1.
§1
31
c) La vinculació de l’activitat de l’infractor amb la realització de tractaments de dades de caràcter personal.
d) El volum de negoci o activitat de l’infractor. e) Els beneficis obtinguts com a conseqüència de la comissió de la infracció. f) El grau d’intencionalitat. g) La reincidència per comissió d’infraccions de la mateixa naturalesa. h) La naturalesa dels perjudicis causats a les persones interessades o a terceres
persones. i) L’acreditació que abans dels fets constitutius d’infracció l’entitat imputada tenia
implantats procediments adequats d’actuació en la recollida i el tractament de Ies dades de caràcter personal, i que la infracció és conseqüència d’una anomalia en el funcionament d’aquests procediments no deguda a una falta de diligència exigible a l’infractor.
j) Qualsevol altra circumstància que sigui rellevant per determinar el grau d’antijuridicitat i de culpabilitat presents en l’actuació infractora concreta.
5. L’òrgan sancionador ha d’establir la quantia de la sanció i aplicar l’escala relativa a la classe d’infraccions que precedeixi immediatament en gravetat aquella en què s’integra la considerada en el cas de què es tracti, en els supòsits següents:
a) Quan s’apreciï una qualificada disminució de la culpabilitat de l’imputat o de l’antijuridicitat del fet com a conseqüència de la concurrència significativa de diversos dels criteris enunciats a l’apartat 4 d’aquest article.
b) Quan l’entitat infractora hagi regularitzat la situació irregular de manera diligent. c) Quan es pugui apreciar que la conducta de l’afectat ha pogut induir a cometre la
infracció. d) Quan l’infractor hagi reconegut espontàniament la seva culpabilitat. e) Quan s’hagi produït un procés de fusió per absorció i la infracció sigui anterior a
aquest procés, de manera que no és imputable a l’entitat absorbent. 6. 40Excepcionalment l’òrgan sancionador, amb l’audiència prèvia dels interessats i
atesa la naturalesa dels fets i la concurrència significativa dels criteris que estableix l’apartat anterior, pot no acordar l’obertura del procediment sancionador i, en lloc seu, advertir el subjecte responsable a fi que, en el termini que l’òrgan sancionador determini, acrediti l’adopció de les mesures correctores que siguin pertinents en cada cas, sempre que concorrin els pressupòsits següents:
a) Que els fets siguin constitutius d’infracció lleu o greu de conformitat amb el que disposa aquesta Llei.
b) Que l’infractor no hagi estat sancionat o advertit amb anterioritat. Si l’advertència no és atesa en el termini que l’òrgan sancionador hagi determinat,
escau l’obertura del procediment sancionador corresponent per aquest incompliment. 7. En cap cas es pot imposar una sanció més greu que la que fixa la Llei per a la
classe d’infracció en què s’integri la que es pretengui sancionar. 8. El Govern ha d’actualitzar periòdicament la quantitat de les sancions d’acord
amb les variacions que experimentin els índexs de preus.
40
Apartat afegit per la Llei 2/2011, de 4 de març, esmentada en la nota 1, per la qual cosa els anteriors apartats 6 i 7 han passat a ser 7 i 8.
§1
32
Article 46. Infraccions de les administracions públiques41
1. Quan les infraccions a què es refereix l’article 44 es cometin en fitxers de titularitat pública o en relació amb tractaments els responsables dels quals ho serien de fitxers d’aquesta naturalesa, l’òrgan sancionador ha de dictar una resolució en què estableixi les mesures que escau adoptar perquè cessin o es corregeixin els efectes de la infracció. Aquesta resolució s’ha de notificar al responsable del fitxer, a l’òrgan del qual depengui jeràrquicament i als afectats si n’hi ha.
2. L’òrgan sancionador també pot proposar la iniciació d’actuacions disciplinàries, si són procedents. El procediment i les sancions a aplicar són els que estableix la legislació sobre règim disciplinari de les administracions públiques.
3. S’han de comunicar a l’òrgan sancionador les resolucions que recaiguin en relació amb les mesures i actuacions a què es refereixen els apartats anteriors.
4. El director de l’Agència ha de comunicar al defensor del Poble les actuacions que efectuï i les resolucions que dicti a l’empara dels apartats anteriors. Article 47. Prescripció
1. Les infraccions molt greus prescriuen al cap de tres anys, les greus al cap de dos anys i les lleus al cap d’un any.
2. El termini de prescripció es comença a comptar des del dia en què s’hagi comès la infracció.
3. Interromp la prescripció la iniciació, amb coneixement de l’interessat, del procediment sancionador, i es reprèn el termini de prescripció si l’expedient sancionador està paralitzat durant més de sis mesos per causes no imputables al presumpte infractor.
4. Les sancions imposades per faltes molt greus prescriuen al cap de tres anys, les imposades per faltes greus al cap de dos anys i les imposades per faltes lleus al cap d’un any.
5. El termini de prescripció de les sancions comença a comptar des de l’endemà del dia en què adquireixi fermesa la resolució per la qual s’imposa la sanció.
6. La prescripció s’interromp per la iniciació, amb coneixement de l’interessat, del procediment d’execució, i torna a transcórrer el termini si el procediment està paralitzat durant més de sis mesos per una causa no imputable a l’infractor. Article 48. Procediment sancionador
1. Per la via reglamentària s’ha d’establir el procediment que s’ha de seguir per a la determinació de les infraccions i la imposició de les sancions a què fa referència aquest títol.42
2. Les resolucions de l’Agència Espanyola de Protecció de Dades o l’òrgan corresponent de la comunitat autònoma exhaureixen la via administrativa.
3. Els procediments sancionadors tramitats per l’Agència Espanyola de Protecció de Dades, en exercici de les potestats que a aquesta atribueixin aquesta o altres lleis, llevats dels referits a infraccions de la Llei 32/2003, de 3 de novembre, general de telecomunicacions, tenen una durada màxima de sis mesos.43
41
Apartats 1 a 3 modificats per la Llei 2/2011, de 4 de març, esmentada en la nota 1. 42
Vid. articles 120 i següents del RD 1720/2007, de 21 de desembre (§2). 43
Apartat afegit per la Llei 62/2003, de 30 de desembre, esmentada en la nota 1.
§1
33
Article 49. Potestat d’immobilització de fitxers44
En els supòsits constitutius d’infracció greu o molt greu en què la persistència en el tractament de les dades de caràcter personal o la seva comunicació o transferència internacional posterior pugui suposar un greu menyscabament dels drets fonamentals dels afectats i en particular del seu dret a la protecció de dades de caràcter personal, l’òrgan sancionador, a més d’exercir la potestat sancionadora, pot requerir als responsables de fitxers de dades de caràcter personal, tant de titularitat pública com privada, que cessin en la utilització o cessió il·lícita de les dades. Si es desatén el requeriment, l’òrgan sancionador, mitjançant resolució motivada, pot immobilitzar els fitxers únicament a l’efecte de restaurar els drets de les persones afectades.
DISPOSICIONS ADDICIONALS Disposició addicional primera. Fitxers preexistents
Els fitxers i els tractaments automatitzats inscrits o no en el Registre General de Protecció de Dades s’han d’adequar a aquesta Llei orgànica dins el termini de tres anys, a comptar des de la seva entrada en vigor. En aquest termini, els fitxers de titularitat privada han de ser comunicats a l’Agència Espanyola de Protecció de Dades i les administracions públiques, responsables de fitxers de titularitat pública, han d’aprovar la disposició pertinent de regulació del fitxer o adaptar l’existent.
En el cas de fitxers i tractaments no automatitzats, la seva adequació a aquesta Llei orgànica i l’obligació que preveu el paràgraf anterior s’han de complir en el termini de dotze anys a comptar des del 24 d’octubre de 1995, sens perjudici de l’exercici dels drets d’accés, rectificació i cancel·lació per part dels afectats. Disposició addicional segona. Fitxers i Registre de població de les administracions públiques
1. L’Administració General de l’Estat i les administracions de les comunitats autònomes poden sol·licitar a l’Institut Nacional d’Estadística, sense el consentiment de l’interessat, una còpia actualitzada del fitxer format amb les dades del nom, els cognoms, el domicili, el sexe i la data de naixement que consten en els padrons municipals d’habitants i en el cens electoral corresponents en els territoris on exerceixin les seves competències, per a la creació de fitxers o registres de població.
2. Els fitxers o els registres de població tenen com a finalitat la comunicació dels diferents òrgans de cada Administració pública amb els interessats residents en els territoris respectius, respecte a les relacions juridicoadministratives derivades de les competències respectives de les administracions públiques. Disposició addicional tercera. Tractament dels expedients de les derogades lleis de vagabunds i malfactors i de perillositat i rehabilitació social
Els expedients específicament instruïts a l’empara de les derogades lleis de vagabunds i malfactors, i de perillositat i rehabilitació social, que continguin dades de qualsevol índole susceptibles d’afectar la seguretat, l’honor, la intimitat o la imatge de
44
Article modificat per la Llei 2/2011, de 4 de març, esmentada en la nota 1.
§1
34
les persones, no poden ser consultats sense que hi hagi consentiment exprés dels afectats, o hagin transcorregut cinquanta anys des de la data d’aquells.
En aquest últim cas, l’Administració General de l’Estat, llevat que hi hagi constància expressa de la mort dels afectats, ha de posar a disposició del sol·licitant la documentació, i suprimir-hi les dades esmentades en el paràgraf anterior, mitjançant la utilització dels procediments tècnics pertinents en cada cas.
Disposició addicional quarta. Modificació de l’article 112.4 de la Llei general tributària45
L’apartat quart de l’article 112 de la Llei general tributària passa a tenir la redacció següent:
«4. La cessió d’aquelles dades de caràcter personal, objecte de tractament, que s’ha de fer a l’Administració tributària d’acord amb el que disposen l’article 111, els apartats anteriors d’aquest article o una altra norma de rang legal, no requereix el consentiment de l’afectat. En aquest àmbit tampoc no és aplicable el que, respecte a les administracions públiques, estableix l’apartat 1 de l’article 21 de la Llei orgànica de protecció de dades de caràcter personal.»
Disposició addicional cinquena. Competències del defensor del Poble i òrgans autonòmics semblants
El que disposa aquesta Llei orgànica s’entén sens perjudici de les competències del defensor del Poble i dels òrgans anàlegs de les comunitats autònomes. Disposició addicional sisena. Modificació de l’article 24.3 de la Llei d’ordenació i supervisió de les assegurances privades
Es modifica l’article 24.3, paràgraf 2n de la Llei 30/1995, de 8 de novembre, d’ordenació i supervisió de les assegurances privades, amb la redacció següent:
«Les entitats asseguradores poden establir fitxers comuns que continguin dades de caràcter personal per a la liquidació de sinistres i la col·laboració estadística actuarial amb la finalitat de permetre la tarifació i la selecció de riscos i l’elaboració d’estudis de tècnica asseguradora. La cessió de dades als fitxers esmentats no requereix el consentiment previ de l’afectat, però sí la comunicació a aquest de la possible cessió de les seves dades personals a fitxers comuns per a les finalitats assenyalades amb indicació expressa del responsable perquè es puguin exercir els drets d’accés, rectificació i cancel·lació que preveu la llei. També es poden establir fitxers comuns la finalitat dels quals sigui prevenir el frau en l’assegurança sense que sigui necessari el consentiment de l’afectat. No obstant això, en aquests casos és necessària la comunicació a l’afectat, en la primera introducció de les seves dades, de qui sigui el responsable del fitxer i de les formes d’exercici dels drets d’accés, rectificació i cancel·lació. En tot cas, les dades relatives a la salut només poden ser objecte de tractament amb el consentiment exprés de l’afectat.»
45
D’acord amb la DF 2a d’aquesta Llei, aquest precepte té el caràcter de llei ordinària. Vid. Llei 58/2003, de 17 de desembre, general tributària (BOE núm. 302, de 18 de desembre de 2003).
§1
35
DISPOSICIONS TRANSITÒRIES Disposició transitòria primera. Tractaments creats per convenis internacionals46
L’Agència Espanyola de Protecció de Dades és l’organisme competent per a la protecció de les persones físiques pel que fa al tractament de dades de caràcter personal respecte dels tractaments establerts en qualsevol conveni internacional del qual Espanya sigui part que atribueixi aquesta competència a una autoritat nacional de control, mentre no es creï una autoritat diferent per a aquesta comesa en desplegament del conveni. Disposició transitòria segona. Utilització del cens promocional
S’han de desplegar per reglament els procediments de formació del cens promocional, d’oposició a constar-hi, de posada a disposició dels sol·licitants i de control de les llistes difoses. El reglament ha d’establir els terminis per a la posada en operació del cens promocional. Disposició transitòria tercera. Subsistència de normes preexistents47
Fins que no es portin a terme les previsions de la disposició final primera d’aquesta Llei, continuen en vigor, amb el seu propi rang, les normes reglamentàries existents i, especialment, els reials decrets 428/1993, de 26 de març; 1332/1994, de 20 de juny, i 994/1999, d’11 de juny, mentre no s’oposin a aquesta Llei.
DISPOSICIÓ DEROGATÒRIA Disposició derogatòria única. Derogació normativa
Queda derogada la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal.
DISPOSICIONS FINALS Disposició final primera. Habilitació per al desplegament reglamentari48
El Govern ha d’aprovar, o modificar, les disposicions reglamentàries necessàries per a l’aplicació i el desplegament d’aquesta Llei. Disposició final segona. Preceptes amb caràcter de llei ordinària
Els títols IV, VI excepte l’últim incís del paràgraf 4 de l’article 36 i VII d’aquesta Llei, la disposició addicional quarta, la disposició transitòria primera i la final primera tenen el caràcter de Llei ordinària.
46
D’acord amb la DF 2a d’aquesta Llei, aquest precepte té el caràcter de llei ordinària. 47
Vid. DD única del RD 1720/2007, de 21 de desembre (§2). Segons l’art. 79 de la Llei 62/2003, de 30 de desembre, esmentada en la nota 1, les referències a l’Agència de Protecció de Dades realitzades en les normes a què es refereix aquesta DT 3a s’han d’entendre realitzades a l’Agència Espanyola de Protecció de Dades. 48
D’acord amb la DF 2a d’aquesta Llei, aquest precepte té el caràcter de llei ordinària.
§1
36
Disposició final tercera. Entrada en vigor
Aquesta Llei entra en vigor en el termini d’un mes, a comptar de la publicació en el Butlletí Oficial de l’Estat.
37
§2 REIAL DECRET 1720/2007, DE 21 DE DESEMBRE, PEL QUAL S’APROVA EL REGLAMENT DE DESPLEGAMENT DE LA LLEI ORGÀNICA 15/1999, DE 13
DE DESEMBRE, DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL49 (BOE núm. 17, de 19 de gener de 2008)
Article únic. Aprovació del Reglament
S’aprova el Reglament de desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, el text del qual s’inclou a continuació.
DISPOSICIONS TRANSITÒRIES
Disposició transitòria primera. Adaptació dels codis tipus inscrits en el Registre general de protecció de dades
En el termini d’un any des de l’entrada en vigor del present Reial decret s’han de notificar a l’Agència Espanyola de Protecció de Dades les modificacions que siguin necessàries en els codis tipus inscrits en el Registre general de protecció de dades per adaptar-ne el contingut al que disposa el títol VII d’aquest Reglament.
Disposició transitòria segona. Terminis d’implantació de les mesures de seguretat
La implantació de les mesures de seguretat que preveu el present Reial decret s’ha de produir d’acord amb les regles següents:
1a Respecte dels fitxers automatitzats que hi ha en la data d’entrada en vigor del present Reial decret:
a) En el termini d’un any des de la seva entrada en vigor, s’han d’implantar les mesures de seguretat de nivell mitjà exigibles en els fitxers següents: 1. Aquells els responsables dels quals siguin les entitats gestores i serveis
comuns de la Seguretat Social i es relacionin amb l’exercici de les seves competències.
2n Aquells els responsables dels quals siguin les mútues d’accidents de treball i malalties professionals de la Seguretat Social.
3r Aquells que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la seva personalitat o del seu comportament, respecte de les mesures d’aquest
49
Aquest Reial decret ha estat afectat pel RD 3/2010, de 8 de gener, pel qual es regula l’Esquema Nacional de Seguretat en l’àmbit de l’Administració electrònica (BOE núm. 25, de 29 de gener de 2010; correccions d’errades BOE núm. 61, d’11 de març de 2010); per les STS de 15 de juliol de 2010 (BOE núm. 259, de 26 d’octubre de 2010, BOE núm. 259, de 26 d’octubre de 2010 i BOE núm. 259, de 26 d’octubre de 2010), i per les STS del 8 de febrer de 2012 (BOE núm. 58, de 8 de març de 2012 i BOE núm. 58, de 8 de març de 2012).
§2
38
nivell que no siguin exigibles conforme al que preveu l’article 4.4 del Reglament de mesures de seguretat dels fitxers automatitzats de dades de caràcter personal, aprovat pel Reial decret 994/1999, d’11 de juny.
b) En el termini d’un any des de la seva entrada en vigor s’han d’implantar les mesures de seguretat de nivell mitjà, i en el de divuit mesos des d’aquella data, les de nivell alt exigibles en els fitxers següents: 1. Aquells que continguin dades derivades d’actes de violència de gènere. 2n Aquells els responsables dels quals siguin els operadors que prestin serveis
de comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte a les dades de tràfic i a les dades de localització.
c) En els altres supòsits, quan el present Reglament exigeixi la implantació d’una mesura addicional, no prevista en el Reglament de mesures de seguretat dels fitxers automatitzats de dades de caràcter personal, aprovat pel Reial decret 994/1999, d’11 de juny, aquesta mesura s’ha d’implantar en el termini d’un any des de l’entrada en vigor del present Reial decret.
2a Respecte dels fitxers no automatitzats que hi ha en la data d’entrada en vigor del present Reial decret:
a) Les mesures de seguretat de nivell bàsic s’han d’implantar en el termini d’un any des de la seva entrada en vigor.
b) Les mesures de seguretat de nivell mitjà s’han d’implantar en el termini de divuit mesos des de la seva entrada en vigor.
c) Les mesures de seguretat de nivell alt s’han d’implantar en el termini de dos anys des de la seva entrada en vigor.
3a Els fitxers, tant si són automatitzats com no automatitzats, creats amb posterioritat a la data d’entrada en vigor del present Reial decret han de tenir implantades, des del moment de la seva creació, la totalitat de les mesures de seguretat que regula. Disposició transitòria tercera. Règim transitori de les sol·licituds per a l’exercici dels drets de les persones
A les sol·licituds per a l’exercici dels drets d’accés, oposició, rectificació i cancel·lació que han estat efectuades abans de l’entrada en vigor del present Reial decret, no els és aplicable el mateix Reial decret, i es regeixen per la normativa anterior. Disposició transitòria quarta. Règim transitori dels procediments
Als procediments ja iniciats abans de l’entrada en vigor del present Reial decret, no els és aplicable el mateix Reial decret, i es regeixen per la normativa anterior. Disposició transitòria cinquena. Règim transitori de les actuacions prèvies
A les actuacions prèvies iniciades amb anterioritat a l’entrada en vigor del present Reial decret, no els és aplicable el mateix Reial decret, i es regeixen per la normativa anterior.
El present Reial decret s’ha d’aplicar a les actuacions prèvies que s’iniciïn després de la seva entrada en vigor.
§2
39
DISPOSICIÓ DEROGATÒRIA
Disposició derogatòria única. Derogació normativa Queden derogats el Reial decret 1332/1994, de 20 de juny, pel qual es despleguen
determinats aspectes de la Llei orgànica 5/1992, de 29 d’octubre, de regulació del tractament automatitzat de les dades de caràcter personal; el Reial decret 994/1999, d’11 de juny, pel qual s’aprova el Reglament de mesures de seguretat dels fitxers automatitzats que continguin dades de caràcter personal, i totes les normes del mateix rang o inferior que contradiguin el que disposa el present Reial decret o s’hi oposin.
DISPOSICIONS FINALS
Disposició final primera. Títol competencial El títol I, a excepció de l’apartat c) de l’article 4; els títols II, III, VII i VIII, així com els
articles 52, 53.3, 53.4, 54, 55.1, 55.3, 56, 57, 58 i 63.3 del Reglament es dicten a l’empara del que disposa l’article 149.1.1a de la Constitució, que atribueix a l’Estat la competència exclusiva per a la regulació de les condicions bàsiques que garanteixin la igualtat de tots els espanyols en l’exercici dels drets i en el compliment dels deures constitucionals.
Disposició final segona. Entrada en vigor
El present Reial decret entra en vigor al cap de tres mesos des de la publicació íntegra en el Butlletí Oficial de l’Estat.
REGLAMENT DE DESPLEGAMENT DE LA LLEI ORGÀNICA 15/1999, DE 13 DE DESEMBRE, DE PROTECCIÓ DE DADES DE CARÀCTER PERSONAL
TÍTOL I DISPOSICIONS GENERALS
Article 1. Objecte
1. El present Reglament té per objecte el desplegament de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal.
2. Així mateix, el capítol III del títol IX d’aquest Reglament desplega les disposicions relatives a l’exercici per part de l’Agència Espanyola de Protecció de Dades de la potestat sancionadora, en aplicació del que disposen la Llei orgànica 15/1999, de 13 de desembre, el títol VII de la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic, i el títol VIII de la Llei 32/2003, de 3 de novembre, general de telecomunicacions.
§2
40
Article 2. Àmbit objectiu d’aplicació
1. El present Reglament és aplicable a les dades de caràcter personal registrades en suport físic, que les faci susceptibles de tractament, i a qualsevol modalitat d’ús posterior d’aquestes dades pels sectors públic i privat.
2. Aquest Reglament no és aplicable als tractaments de dades referides a persones jurídiques, ni als fitxers que es limitin a incorporar les dades de les persones físiques que hi prestin els seus serveis, consistents únicament en el nom i cognoms, les funcions o llocs exercits, així com l’adreça postal o electrònica, telèfon i número de fax professionals.
3. Així mateix, les dades relatives a empresaris individuals, quan hi facin referència en la seva qualitat de comerciants, industrials o naviliers, també s’han d’entendre excloses del règim d’aplicació de la protecció de dades de caràcter personal.
4. Aquest Reglament no és aplicable a les dades referides a persones mortes. No obstant això, les persones vinculades al mort, per raons familiars o anàlogues, es poden dirigir als responsables dels fitxers o tractaments que continguin dades de la persona morta amb la finalitat de notificar l’òbit, aportant l’acreditació suficient, i sol·licitar, quan escaigui, la cancel·lació de les dades. Article 3. Àmbit territorial d’aplicació
1. Pel present Reglament s’ha de regir qualsevol tractament de dades de caràcter personal:
a) Quan el tractament s’efectuï en el marc de les activitats d’un establiment del responsable del tractament, sempre que l’establiment estigui ubicat en el territori espanyol. Quan no sigui aplicable el que disposa el paràgraf anterior, però hi ha un encarregat del tractament ubicat a Espanya, li són aplicables les normes que conté el títol VIII del present Reglament.
b) Quan al responsable del tractament no establert en el territori espanyol li sigui aplicable la legislació espanyola, segons les normes de dret internacional públic.
c) Quan el responsable del tractament no estigui establert en el territori de la Unió Europea i utilitzi en el tractament de dades mitjans situats en el territori espanyol, llevat que aquests mitjans s’utilitzin únicament amb fins de tràfic. En aquest cas, el responsable del tractament ha de designar un representant establert en el territori espanyol.
2. Als efectes previstos en els apartats anteriors, s’entén per establiment, amb independència de la seva forma jurídica, qualsevol instal·lació estable que permeti l’exercici efectiu i real d’una activitat. Article 4. Fitxers o tractaments exclosos
El règim de protecció de les dades de caràcter personal que estableix el present Reglament no és aplicable als fitxers i tractaments següents:
a) Als realitzats o mantinguts per persones físiques en l’exercici d’activitats exclusivament personals o domèstiques. Només es consideren relacionats amb activitats personals o domèstiques els tractaments relatius a les activitats que s’inscriuen en el marc de la vida privada o familiar dels particulars.
§2
41
b) Als sotmesos a la normativa sobre protecció de matèries classificades. c) Als establerts per a la investigació del terrorisme i de formes greus de
delinqüència organitzada. No obstant això, el responsable del fitxer ha de comunicar prèviament l’existència del mateix fitxer, les seves característiques generals i la seva finalitat a l’Agència Espanyola de Protecció de Dades.
Article 5. Definicions
1. Als efectes que preveu aquest Reglament, s’entén per: a) Afectat o interessat: persona física titular de les dades que siguin objecte del
tractament. b) Cancel·lació: procediment en virtut del qual el responsable cessa en l’ús de les
dades. La cancel·lació implica el bloqueig de les dades, consistent en la identificació i reserva d’aquestes amb la finalitat d’impedir-ne el tractament excepte per posar-les a disposició de les administracions públiques, jutges i tribunals, per a l’atenció de les possibles responsabilitats nascudes del tractament i només durant el termini de prescripció de les responsabilitats esmentades. Transcorregut aquest termini s’ha de procedir a la supressió de les dades.
c) Cessió o comunicació de dades: tractament de dades que suposa la seva revelació a una persona diferent de l’interessat.
d) Consentiment de l’interessat: qualsevol manifestació de voluntat, lliure, inequívoca, específica i informada, mitjançant la qual l’interessat consent el tractament de dades personals que el concerneixen.
e) Dada dissociada: la que no permet la identificació d’un afectat o interessat. f) Dades de caràcter personal: qualsevol informació numèrica, alfabètica, gràfica,
fotogràfica, acústica o de qualsevol altre tipus que concerneix persones físiques identificades o identificables.
g) Dades de caràcter personal relacionades amb la salut: les informacions que concerneixen la salut passada, present i futura, física o mental, d’un individu. En particular, es consideren dades relacionades amb la salut de les persones les referides al seu percentatge de discapacitat i a la seva informació genètica.
h) Destinatari o cessionari: la persona física o jurídica, pública o privada o òrgan administratiu, a què es revelin les dades. També poden ser-ne destinataris els ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats.
i) Encarregat del tractament: la persona física o jurídica, pública o privada, o òrgan administratiu que, sol o conjuntament amb altres, tracti dades personals per compte del responsable del tractament o del responsable del fitxer, com a conseqüència de l’existència d’una relació jurídica que l’hi vincula i delimita l’àmbit de la seva actuació per a la prestació d’un servei. També poden ser encarregats del tractament els ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats.
j) Exportador de dades personals: la persona física o jurídica, pública o privada, o l’òrgan administratiu situat en el territori espanyol que realitzi, conforme al que disposa el present Reglament, una transferència de dades de caràcter personal a un país tercer.
§2
42
k) Fitxer: qualsevol conjunt organitzat de dades de caràcter personal que permeti l’accés a les dades d’acord amb uns criteris determinats, sigui quina sigui la forma o modalitat de la seva creació, emmagatzematge, organització i accés.
l) Fitxers de titularitat privada: els fitxers els responsables dels quals siguin les persones, empreses o entitats de dret privat, amb independència de qui tingui la titularitat del seu capital o de la procedència dels seus recursos econòmics, així com els fitxers els responsables dels quals siguin les corporacions de dret públic, si és que aquests fitxers no estan estrictament vinculats a l’exercici de potestats de dret públic que els atribueix la seva normativa específica.
m) Fitxers de titularitat pública: els fitxers els responsables dels quals siguin els òrgans constitucionals o amb rellevància constitucional de l’Estat o les institucions autonòmiques amb funcions anàlogues a aquests òrgans, les administracions públiques territorials, així com les entitats o organismes que hi estan vinculats o en depenen i les corporacions de dret públic, sempre que la seva finalitat sigui l’exercici de potestats de dret públic.
n) Fitxer no automatitzat: qualsevol conjunt de dades de caràcter personal organitzat de forma no automatitzada i estructurat conforme a criteris específics relatius a persones físiques, que permetin accedir sense esforços desproporcionats a les seves dades personals, tant si aquell és centralitzat, descentralitzat o repartit de forma funcional o geogràfica.
ñ) Importador de dades personals: la persona física o jurídica, pública o privada, o l’òrgan administratiu receptor de les dades en cas de transferència internacional d’aquestes dades a un tercer país, tant si és responsable del tractament, encarregada del tractament o un tercer.
o) Persona identificable: qualsevol persona la identitat de la qual es pugui determinar, directament o indirectament, mitjançant qualsevol informació referida a la seva identitat física, fisiològica, psíquica, econòmica, cultural o social. Una persona física no es considera identificable si la dita identificació requereix terminis o activitats desproporcionats.
p) Procediment de dissociació: qualsevol tractament de dades personals que permeti l’obtenció de dades dissociades.
q) Responsable del fitxer o del tractament: persona física o jurídica, de naturalesa pública o privada, o òrgan administratiu, que sol o conjuntament amb altres decideixi sobre la finalitat, contingut i ús del tractament, encara que no ho realitzi materialment. També poden ser responsables del fitxer o del tractament els ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats.
r) Tercer: la persona física o jurídica, pública o privada, o l’òrgan administratiu diferent de l’afectat o interessat, del responsable del tractament, del responsable del fitxer, de l’encarregat del tractament i de les persones autoritzades per tractar les dades sota l’autoritat directa del responsable del tractament o de l’encarregat del tractament. També poden ser tercers els ens sense personalitat jurídica que actuïn en el tràfic com a subjectes diferenciats.
s) Transferència internacional de dades: tractament de dades que suposa una transmissió d’aquestes dades fora del territori de l’Espai Econòmic Europeu, tant si constitueix una cessió o comunicació de dades, com sí té per objecte la
§2
43
realització d’un tractament de dades per compte del responsable del fitxer establert en el territori espanyol.
t) Tractament de dades: qualsevol operació o procediment tècnic, ja sigui automatitzat o no, que permeti la recollida, gravació, conservació, elaboració, modificació, consulta, utilització, modificació, cancel·lació, bloqueig o supressió, així com les cessions de dades que resultin de comunicacions, consultes, interconnexions i transferències.
2. En particular, en relació amb el que disposa el títol VIII d’aquest Reglament, s’entén per:
a) Accessos autoritzats: autoritzacions concedides a un usuari per a la utilització dels diversos recursos. Si s’escau, han d’incloure les autoritzacions o funcions que tingui atribuïdes un usuari per delegació del responsable del fitxer o tractament o del responsable de seguretat.
b) Autenticació: procediment de comprovació de la identitat d’un usuari. c) Contrasenya: informació confidencial, freqüentment constituïda per una cadena
de caràcters, que pot ser usada en l’autenticació d’un usuari o en l’accés a un recurs.
d) Control d’accés: mecanisme que en funció de la identificació ja autenticada permet accedir a dades o recursos.
e) Còpia de seguretat: còpia de les dades d’un fitxer automatitzat en un suport que possibiliti recuperar-les.
f) Document: qualsevol escrit, gràfic, so, imatge o qualsevol altra classe d’informació que pot ser tractada en un sistema d’informació com una unitat diferenciada.
g) Fitxers temporals: fitxers de treball creats per usuaris o processos que són necessaris per a un tractament ocasional o com a pas intermedi durant la realització d’un tractament.
h) Identificació: procediment de reconeixement de la identitat d’un usuari. i) Incidència: qualsevol anomalia que afecti o pugui afectar la seguretat de les
dades. j) Perfil d’usuari: accessos autoritzats a un grup d’usuaris. k) Recurs: qualsevol part component d’un sistema d’informació. l) Responsable de seguretat: persona o persones a les quals el responsable del
fitxer ha assignat formalment la funció de coordinar i controlar les mesures de seguretat aplicables.
m) Sistema d’informació: conjunt de fitxers, tractaments, programes, suports i, si s’escau, equips utilitzats per al tractament de dades de caràcter personal.
n) Sistema de tractament: manera en què s’organitza o utilitza un sistema d’informació. Atenent el sistema de tractament, els sistemes d’informació poden ser automatitzats, no automatitzats o parcialment automatitzats.
ñ) Suport: objecte físic que emmagatzema o conté dades o documents, o objecte susceptible de ser tractat en un sistema d’informació i sobre el qual es poden gravar i recuperar dades.
o) Transmissió de documents: qualsevol trasllat, comunicació, enviament, lliurament o divulgació de la informació que conté.
§2
44
p) Usuari: subjecte o procés autoritzat per accedir a dades o recursos. Tenen la consideració d’usuaris els processos que permeten accedir a dades o recursos sense identificació d’un usuari físic.
Article 6. Còmput de terminis
En els supòsits en què aquest Reglament assenyali un termini per dies, s’han de computar únicament els hàbils. Quan el termini sigui per mesos, s’han de computar de data a data. Article 7. Fonts accessibles al públic
1. A efectes de l’article 3, paràgraf j), de la Llei orgànica 15/1999, s’entén que només tenen el caràcter de fonts accessibles al públic:
a) El cens promocional, regulat conforme al que disposa la Llei orgànica 15/1999, de 13 de desembre.
b) Les guies de serveis de comunicacions electròniques, en els termes que preveu la seva normativa específica.
c) Les llistes de persones pertanyents a grups de professionals que continguin únicament les dades del nom, títol, professió, activitat, grau acadèmic, adreça professional i indicació de la seva pertinença al grup. L’adreça professional pot incloure les dades del domicili postal complet, número telefònic, número de fax i adreça electrònica. En el cas dels col·legis professionals, es poden indicar com a dades de pertinença al grup les de número de col·legiat, data d’incorporació i situació d’exercici professional.
d) Els diaris i butlletins oficials. e) Els mitjans de comunicació social. 2. En tot cas, perquè els supòsits enumerats a l’apartat anterior puguin ser
considerats fonts accessibles al públic, és necessari que la seva consulta la pugui fer qualsevol persona, no impedida per una norma limitativa, o sense més exigència que, si s’escau, l’abonament d’una contraprestació.
TÍTOL II PRINCIPIS DE PROTECCIÓ DE DADES
CAPÍTOL I
QUALITAT DE LES DADES
Article 8. Principis relatius a la qualitat de les dades 1. Les dades de caràcter personal han de ser tractades de manera lleial i lícita. Es
prohibeix la recollida de dades per mitjans fraudulents, deslleials o il·lícits. 2. Les dades de caràcter personal només poden ser recollides per al compliment de
finalitats determinades, explícites i legítimes del responsable del tractament. 3. Les dades de caràcter personal objecte de tractament no es poden fer servir per
a finalitats incompatibles amb aquelles per a les quals les dades han estat recollides. 4. Només poden ser objecte de tractament les dades que siguin adequades,
pertinents i no excessives en relació amb les finalitats determinades, explícites i legítimes per a les quals s’han obtingut.
§2
45
5. Les dades de caràcter personal han de ser exactes i han d’estar posades al dia de forma que responguin amb veracitat a la situació actual de l’afectat. Si les dades es recullen directament de l’afectat, es consideren exactes les que ell faciliti.
Si les dades de caràcter personal sotmeses a tractament resulten ser inexactes, del tot o en part, o incompletes, s’han de cancel·lar i substituir d’ofici per les corresponents dades rectificades o completades en el termini de deu dies des que es tingui coneixement de la inexactitud, llevat que la legislació aplicable al fitxer estableixi un procediment o un termini específic per a això.
Quan les dades hagin estat comunicades prèviament, el responsable del fitxer o tractament ha de notificar al cessionari, en el termini de deu dies, la rectificació o cancel·lació efectuada, sempre que el cessionari sigui conegut.
En el termini de deu dies des de la recepció de la notificació, el cessionari que mantingui el tractament de les dades ha de procedir a la rectificació i cancel·lació notificada.
Aquesta actualització de les dades de caràcter personal no requereix cap comunicació a l’interessat, sense perjudici de l’exercici dels drets per part dels interessats reconeguts a la Llei orgànica 15/1999, de 13 de desembre.
El que disposa aquest apartat s’entén sense perjudici de les facultats que als afectats reconeix el títol III d’aquest Reglament.
6. Les dades de caràcter personal s’han de cancel·lar quan hagin deixat de ser necessàries o pertinents per a la finalitat per a la qual han estat sol·licitades o registrades.
No obstant això, es poden conservar durant el temps en què es pugui exigir algun tipus de responsabilitat derivada d’una relació o obligació jurídica o de l’execució d’un contracte o de l’aplicació de mesures precontractuals sol·licitades per l’interessat.
Una vegada complert el període a què es refereixen els paràgrafs anteriors, les dades només poden ser conservades amb la seva dissociació prèvia, sense perjudici de l’obligació de bloqueig que preveuen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
7. Les dades de caràcter personal s’han de tractar de manera que permetin l’exercici del dret d’accés, mentre no sigui procedent cancel·lar-les. Article 9. Tractament amb fins estadístics, històrics o científics
1. No es considera incompatible, a l’efecte que preveu l’apartat 3 de l’article anterior, el tractament de les dades de caràcter personal amb fins històrics, estadístics o científics.
Per tal de determinar els fins a què es refereix el paràgraf anterior, cal atenir-se a la legislació que en cada cas sigui aplicable i, en particular, al que disposen la Llei 12/1989, de 9 de maig, reguladora de la funció estadística pública; la Llei 16/1985, de 25 juny, del patrimoni històric espanyol, i la Llei 13/1986, de 14 d’abril, de foment i coordinació general de la investigació científica i tècnica, i les seves respectives disposicions de desplegament, així com la normativa autonòmica en aquestes matèries.50
50
Vid. Llei 7/1997, de 20 de novembre, de la recerca i del desenvolupament tecnològic (BOIB núm. 148, de 29 de novembre de 1997); Llei 12/1998, de 21 de desembre, del Patrimoni Històric de les Illes Balears (BOIB núm. 165, de 29 de desembre de 1998), i Llei 3/2002, de 17 de maig, d’Estadística de les Illes Balears (BOIB núm. 64, de 28 de maig de 2002).
§2
46
2. Per via d’excepció al que disposa l’apartat 6 de l’article anterior, l’Agència Espanyola de Protecció de Dades o, si s’escau, les autoritats de control de les comunitats autònomes poden acordar, amb la sol·licitud prèvia del responsable del tractament i conforme al procediment que estableix la secció segona del capítol VII del títol IX del present Reglament, el manteniment íntegre de determinades dades, atesos els seus valors històrics, estadístics o científics d’acord amb les normes a què es refereix l’apartat anterior. Article 10. Supòsits que legitimen el tractament o cessió de les dades
1. Les dades de caràcter personal només poden ser objecte de tractament o cessió si l’interessat hi ha prestat prèviament el seu consentiment.
2. No obstant això, és possible el tractament o la cessió de les dades de caràcter personal sense necessitat del consentiment de l’interessat quan:
a) Ho autoritzi una norma amb rang de llei o una norma de dret comunitari i, en particular, quan es doni un dels supòsits següents: El tractament o la cessió tinguin per objecte la satisfacció d’un interès legítim del responsable del tractament o del cessionari emparat per les normes esmentades, sempre que no prevalgui l’interès o els drets i llibertats fonamentals dels interessats que preveu l’article 1 de la Llei orgànica 15/1999, de 13 de desembre. El tractament o la cessió de les dades siguin necessaris perquè el responsable del tractament compleixi un deure que li imposi una de les normes esmentades.
b) (Anul·lada)51 3. Les dades de caràcter personal es poden tractar sense necessitat del
consentiment de l’interessat quan: a) Es recullin per a l’exercici de les funcions pròpies de les administracions
públiques en l’àmbit de les competències que els atribueixi una norma amb rang de llei o una norma de dret comunitari.
b) Les sol·liciti el responsable del tractament en ocasió de la subscripció d’un contracte o precontracte o de l’existència d’una relació negocial, laboral o administrativa de la qual sigui part l’afectat i siguin necessaris per al seu manteniment o compliment.
c) El tractament de les dades tingui per finalitat protegir un interès vital de l’interessat en els termes de l’apartat 6 de l’article 7 de la Llei orgànica 15/1999, de 13 de desembre.
4. És possible la cessió de les dades de caràcter personal sense tenir el consentiment de l’interessat quan:
a) La cessió respongui a la acceptació lliure i legítima d’una relació jurídica el desenvolupament, compliment i control de la qual comporti la comunicació de les dades. En aquest cas la comunicació només és legítima quan es limiti a la finalitat que la justifiqui.
b) La comunicació que s’ha d’efectuar tingui per destinatari el Defensor del Poble, el ministeri fiscal o els jutges o tribunals o el Tribunal de Comptes o les institucions autonòmiques amb funcions anàlogues al Defensor del Poble o al
51
Lletra declarada nul·la per les STS de 8 de febrer de 2012, esmentades en la nota 49.
§2
47
Tribunal de Comptes i es realitzi en l’àmbit de les funcions que la llei els atribueixi expressament.
c) La cessió entre administracions públiques quan es doni un dels supòsits següents: Tingui per objecte el tractament de les dades amb fins històrics, estadístics o científics. Les dades de caràcter personal les hagi recollit o elaborat una administració pública amb destinació a una altra. La comunicació es realitzi per a l’exercici de competències idèntiques o que versin sobre les mateixes matèries.
5. Les dades especialment protegides es poden tractar i cedir en els termes que preveuen els articles 7 i 8 de la Llei orgànica 15/1999, de 13 de desembre.
En particular, no és necessari el consentiment de l’interessat per a la comunicació de dades personals sobre la salut, fins i tot a través de mitjans electrònics, entre organismes, centres i serveis del Sistema Nacional de Salut, quan es faci per a l’atenció sanitària de les persones, conforme al que disposa el capítol V de la Llei 16/2003, de 28 de maig, de cohesió i qualitat del Sistema Nacional de Salut. Article 11. Verificació de dades en sol·licituds formulades a les administracions públiques (Anul·lat)52
CAPÍTOL II CONSENTIMENT PER AL TRACTAMENT DE LES DADES
I DEURE D’INFORMACIÓ
SECCIÓ 1a OBTENCIÓ DEL CONSENTIMENT DE L’AFECTAT
Article 12. Principis generals 1. El responsable del tractament ha d’obtenir el consentiment de l’interessat per al
tractament de les seves dades de caràcter personal excepte en els supòsits en què el consentiment no sigui exigible d’acord amb el que disposen les lleis.
La sol·licitud del consentiment ha de fer referència a un tractament o sèrie de tractaments concrets, amb delimitació de la finalitat per als quals se sol·licita, així com de les restants condicions que concorrin en el tractament o sèrie de tractaments.
2. Quan se sol·liciti el consentiment de l’afectat per a la cessió de les seves dades, ha de ser informat de manera que conegui inequívocament la finalitat a què es destinen les dades respecte de la comunicació de les quals se sol·licita el consentiment i el tipus d’activitat que porta a terme el cessionari. En cas contrari, el consentiment és nul.
3. Correspon al responsable del tractament la prova de l’existència del consentiment de l’afectat per qualsevol mitjà de prova admissible en dret.
52
Article declarat nul per la STS de 15 de juliol de 2010, esmentada en la nota 49.
§2
48
Article 13. Consentiment per al tractament de dades de menors d’edat
1. Es pot procedir al tractament de les dades dels més grans de catorze anys amb el seu consentiment, excepte en els casos en què la Llei exigeixi per a la seva prestació l’assistència dels titulars de la pàtria potestat o tutela. En el cas dels menors de catorze anys es requereix el consentiment dels pares o tutors.
2. En cap cas es poden sol·licitar dades del menor que permetin obtenir informació sobre els altres membres del grup familiar, o sobre les característiques del mateix grup, com ara les dades relatives a l’activitat professional dels progenitors, informació econòmica, dades sociològiques o qualssevol altres, sense el consentiment dels titulars d’aquestes dades. No obstant això, es poden sol·licitar les dades d’identitat i adreça del pare, mare o tutor amb l’única finalitat d’obtenir l’autorització que preveu l’apartat anterior.
3. Quan el tractament es refereixi a dades de menors d’edat, la informació que s’hi adreci s’ha d’expressar en un llenguatge que els sigui fàcilment comprensible, amb la indicació expressa del que disposa aquest article.
4. Correspon al responsable del fitxer o tractament articular els procediments que garanteixin que s’ha comprovat de manera efectiva l’edat del menor i l’autenticitat del consentiment prestat, si s’escau, pels pares, tutors o representants legals. Article 14. Forma d’obtenir el consentiment
1. El responsable del tractament pot sol·licitar el consentiment de l’interessat a través del procediment que estableix aquest article, excepte quan la Llei li exigeixi l’obtenció del consentiment exprés per al tractament de les dades.
2. El responsable es pot dirigir a l’afectat, l’ha d’informar en els termes previstos en els articles 5 de la Llei orgànica 15/1999, de 13 de desembre, i 12.2 d’aquest Reglament, li ha de concedir un termini de trenta dies perquè manifesti la seva negativa al tractament, i l’ha d’advertir que, en cas que no es pronunciï a aquest efecte, s’entén que consent el tractament de les seves dades de caràcter personal.
En particular, quan es tracti de responsables que prestin un servei a l’afectat que generi informació periòdica o reiterada, o facturació periòdica, la comunicació es pot portar a terme de manera conjunta a aquesta informació o a la facturació del servei prestat, sempre que es faci de forma clarament visible.
3. En tot cas, és necessari que el responsable del tractament pugui conèixer si la comunicació ha estat objecte de devolució, per qualsevol causa, cas en què no pot procedir al tractament de les dades referides a aquest interessat.
4. S’ha de facilitar a l’interessat un mitjà senzill i gratuït per manifestar la seva negativa al tractament de les dades. En particular, es consideren ajustats al present Reglament els procediments en què la dita negativa es pugui efectuar, entre d’altres, mitjançant un enviament prefranquejat al responsable del tractament, la trucada a un número telefònic gratuït o als serveis d’atenció al públic que aquest hagi establert.
5. Quan se sol·liciti el consentiment de l’interessat a través del procediment establert en aquest article, no és possible tornar-lo a sol·licitar respecte dels mateixos tractaments i per a les mateixes finalitats en el termini d’un any a comptar de la data de l’anterior sol·licitud.
§2
49
Article 15. Sol·licitud del consentiment en el marc d’una relació contractual per a fins que no s’hi relacionin directament
Si el responsable del tractament sol·licita el consentiment de l’afectat durant el procés de formació d’un contracte per a finalitats que no tinguin una relació directa amb el manteniment, desenvolupament o control de la relació contractual, ha de permetre a l’afectat que manifesti expressament la seva negativa al tractament o comunicació de dades.
En particular, aquest deure s’entén acomplert quan es permeti a l’afectat que marqui una casella clarament visible i que no estigui ja marcada en el document que se li lliuri per a la subscripció del contracte o s’estableixi un procediment equivalent que li permeti manifestar la seva negativa al tractament. Article 16. Tractament de dades de facturació i tràfic en serveis de comunicacions electròniques
La sol·licitud del consentiment per al tractament o cessió de les dades de tràfic, facturació i localització per part dels subjectes obligats o, si s’escau, la revocació d’aquell, segons la legislació reguladora de les telecomunicacions s’ha de sotmetre al que estableix la seva normativa específica i, en el que no hi sigui contrari al que estableix la present secció. Article 17. Revocació del consentiment
1. L’afectat ha de poder revocar el seu consentiment a través d’un mitjà senzill, gratuït i que no impliqui cap ingrés per al responsable del fitxer o tractament. En particular, es considera ajustat al present Reglament el procediment en què la dita negativa es pugui efectuar, entre d’altres, mitjançant un enviament prefranquejat al responsable del tractament o la trucada a un número telefònic gratuït o als serveis d’atenció al públic que aquest ha establert.
No es consideren conformes al que disposa la Llei orgànica 15/1999, de 13 de desembre, els supòsits en què el responsable estableix com a mitjà perquè l’interessat pugui manifestar que es nega al tractament l’enviament de cartes certificades o enviaments semblants, la utilització de serveis de telecomunicacions que impliquin una tarifació addicional a l’afectat o qualssevol altres mitjans que impliquin un cost addicional a l’interessat.
2. El responsable ha de cessar en el tractament de les dades en el termini màxim de deu dies a comptar de la recepció de la revocació del consentiment, sense perjudici de la seva obligació de bloquejar les dades d’acord amb el que disposa l’article 16.3 de la Llei orgànica 15/1999, de 13 de desembre.
3. Quan l’interessat ha sol·licitat del responsable del tractament la confirmació del cessament en el tractament de les seves dades, aquest ha de respondre expressament a la sol·licitud.
4. Si les dades han estat cedides prèviament, el responsable del tractament, una vegada revocat el consentiment, ho ha de comunicar als cessionaris, en el termini que preveu l’apartat 2, perquè cessin en el tractament de les dades en cas que encara el mantinguin, d’acord amb l’article 16.4 de la Llei orgànica 15/1999, de 13 de desembre.
§2
50
SECCIÓ 2a
DEURE D’INFORMACIÓ A L’INTERESSAT
Article 18. Acreditació del compliment del deure d’informació (Anul·lat) 53 Article 19. Supòsits especials
En els supòsits en què es produeixi una modificació del responsable del fitxer com a conseqüència d’una operació de fusió, escissió, cessió global d’actius i passius, aportació o transmissió de negoci o branca d’activitat empresarial, o qualsevol operació de reestructuració societària de naturalesa anàloga, que preveu la normativa mercantil, no s’ha de produir cessió de dades, sense perjudici del compliment per part del responsable del que disposa l’article 5 de la Llei orgànica 15/1999, de 13 de desembre.
CAPÍTOL III ENCARREGAT DEL TRACTAMENT
Article 20. Relacions entre el responsable i l’encarregat del tractament 1. L’accés a les dades per part d’un encarregat del tractament que sigui necessari
per a la prestació d’un servei al responsable no es considera comunicació de dades, sempre que es compleixi el que estableixen la Llei orgànica 15/1999, de 13 de desembre, i el present capítol.
El servei prestat per l’encarregat del tractament pot tenir o no caràcter remunerat i ser temporal o indefinit.
No obstant això, es considera que hi ha comunicació de dades quan l’accés tingui per objecte l’establiment d’un nou vincle entre el qui accedeix a les dades i l’afectat.
2. Quan el responsable del tractament contracti la prestació d’un servei que comporti un tractament de dades personals sotmès al que disposa aquest capítol ha de vetllar perquè l’encarregat del tractament compleixi les garanties per al compliment del que disposa aquest Reglament.
3. En cas que l’encarregat del tractament destini les dades a una altra finalitat, les comuniqui o les utilitzi incomplint les estipulacions del contracte a què es refereix l’apartat 2 de l’article 12 de la Llei orgànica 15/1999, de 13 de desembre, també es considera responsable del tractament, i ha de respondre de les infraccions en què hagi incorregut personalment.
No obstant això, l’encarregat del tractament no incorre en responsabilitat quan, amb la indicació prèvia i expressa del responsable, comunica les dades a un tercer designat per aquell, a qui ha encomanat la prestació d’un servei conforme al que preveu el present capítol. Article 21. Possibilitat de subcontractació dels serveis
1. L’encarregat del tractament no pot subcontractar amb un tercer la realització de cap tractament que li hagi encomanat el responsable del tractament, llevat que n’ha
53
Article declarat nul per la STS de 15 de juliol de 2010, esmentada en la nota 49.
§2
51
obtingut autorització per fer-ho. En aquest cas, la contractació sempre s’ha d’efectuar en nom i per compte del responsable del tractament.
2. No obstant el que disposa l’apartat anterior, és possible fer la subcontractació sense necessitat d’autorització sempre que es compleixin els requisits següents:
a) Que s’especifiquin en el contracte els serveis que puguin ser objecte de subcontractació i, si això és possible, l’empresa amb la qual s’ha de subcontractar. Quan no s’identifiqui en el contracte l’empresa amb la qual s’ha de subcontractar, és necessari que l’encarregat del tractament comuniqui al responsable les dades que la identifiquin abans de procedir a la subcontractació.
b) Que el tractament de dades de caràcter personal per part del subcontractista s’ajusti a les instruccions del responsable del fitxer.
c) Que l’encarregat del tractament i l’empresa subcontractista formalitzin el contracte, en els termes previstos a l’article anterior. En aquest cas, el subcontractista és considerat encarregat del tractament, i li és aplicable el que preveu l’article 20.3 d’aquest Reglament.
3. Si durant la prestació del servei és necessari subcontractar-ne una part i aquesta circumstància no s’ha previst en el contracte, s’han de sotmetre al responsable del tractament els aspectes assenyalats a l’apartat anterior. Article 22. Conservació de les dades per part de l’encarregat del tractament
1. Una vegada complerta la prestació contractual, les dades de caràcter personal han de ser destruïdes o retornades al responsable del tractament o a l’encarregat que aquest ha designat, com també qualsevol suport o documents en què consti alguna dada de caràcter personal objecte del tractament.
No pertoca la destrucció de les dades quan hi hagi una previsió legal que n’exigeixi la conservació, cas en què s’ha de procedir a la devolució de les dades amb la garantia del responsable del fitxer de la conservació esmentada.
2. L’encarregat del tractament ha de conservar les dades, degudament bloquejades, mentre no es puguin derivar responsabilitats de la seva relació amb el responsable del tractament.
TÍTOL III DRETS D’ACCÉS, RECTIFICACIÓ, CANCEL·LACIÓ I OPOSICIÓ
CAPÍTOL I
DISPOSICIONS GENERALS
Article 23. Caràcter personalíssim
1. Els drets d’accés, rectificació, cancel·lació i oposició són personalíssims i els exerceix l’afectat.
2. Aquests drets els exerceix: a) L’afectat, acreditant la seva identitat, de la manera que preveu l’article següent. b) Quan l’afectat estigui en situació d’incapacitat o minoria d’edat que
l’impossibiliti l’exercici personal d’aquests drets, els pot exercir el seu representant legal, cas en què és necessari que acrediti aquesta condició.
§2
52
c) Els drets també es poden exercir a través d’un representant voluntari, expressament designat per a l’exercici del dret. En aquest cas ha de constar clarament acreditada la identitat del representat, mitjançant l’aportació d’una còpia del seu document nacional d’identitat o document equivalent, i la representació que li ha conferit aquell. Quan el responsable del fitxer sigui un òrgan de les administracions públiques o de l’Administració de Justícia, es pot acreditar la representació per qualsevol mitjà vàlid en dret que deixi constància fidedigna, o mitjançant una declaració en compareixença personal de l’interessat.
3. Els drets es deneguen quan la sol·licitud la formuli una persona diferent de l’afectat i no s’acrediti que la dita persona actua en representació d’aquell. Article 24. Condicions generals per a l’exercici dels drets d’accés, rectificació, cancel·lació i oposició
1. Els drets d’accés, rectificació, cancel·lació i oposició són drets independents, de tal manera que no es pot entendre que l’exercici de cap d’aquests drets és un requisit previ per a l’exercici dels altres.
2. S’ha de concedir a l’interessat un mitjà senzill i gratuït per a l’exercici dels drets d’accés, rectificació, cancel·lació i oposició.
3. L’exercici per part de l’afectat dels seus drets d’accés, rectificació, cancel·lació i oposició és gratuït i en cap cas pot suposar un ingrés addicional per al responsable del tractament davant el qual s’exerceixen.
No es consideren conformes amb el que disposen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament, els supòsits en què el responsable del tractament estableix com a mitjà perquè l’interessat pugui exercir els seus drets l’enviament de cartes certificades o semblants, la utilització de serveis de telecomunicacions que impliqui una tarifació addicional a l’afectat o qualssevol altres mitjans que impliquin un cost excessiu per a l’interessat.
4. Quan el responsable del fitxer o tractament disposi de serveis de qualsevol índole per a l’atenció al públic o l’exercici de reclamacions relacionades amb el servei prestat o els productes que s’hi ofereixen, es pot concedir a l’afectat la possibilitat d’exercir els seus drets d’accés, rectificació, cancel·lació i oposició a través dels serveis esmentats. En aquest cas, la identitat de l’interessat es considera acreditada pels mitjans establerts per a la identificació dels clients del responsable en la prestació dels seus serveis o contractació dels seus productes.
5. El responsable del fitxer o tractament ha d’atendre la sol·licitud d’accés, rectificació, cancel·lació o oposició exercida per l’afectat tot i que aquest no hagi utilitzat el procediment establert específicament a l’efecte per aquell, sempre que l’interessat hagi utilitzat un mitjà que permeti acreditar l’enviament i la recepció de la sol·licitud, i que la mateixa sol·licitud contingui els elements indicats en el paràgraf 1 de l’article següent. Article 25. Procediment
1. Excepte en el supòsit indicat en el paràgraf 4 de l’article anterior, l’exercici dels drets s’ha de portar a terme mitjançant una comunicació dirigida al responsable del fitxer, que ha de contenir:
§2
53
a) Nom i cognoms de l’interessat; fotocòpia del document nacional d’identitat, o del passaport o un altre document vàlid que l’identifiqui i, si s’escau, de la persona que el representi, o instruments electrònics equivalents; així com el document o instrument electrònic acreditatiu d’aquesta representació. La utilització de signatura electrònica identificativa de l’afectat eximeix de la presentació de les fotocòpies del DNI o document equivalent. El paràgraf anterior s’entén sense perjudici de la normativa específica aplicable a la comprovació de dades d’identitat per part de les administracions públiques en els procediments administratius.
b) Petició en què es concreta la sol·licitud. c) Adreça als efectes de notificacions, data i signatura del sol·licitant. d) Documents acreditatius de la petició que formula, si s’escau. 2. El responsable del tractament ha de contestar la sol·licitud que se li dirigeixi en
tot cas, amb independència que figurin o no dades personals de l’afectat en els seus fitxers.
3. En cas que la sol·licitud no compleixi els requisits que especifica l’apartat primer, el responsable del fitxer ha de sol·licitar-ne l’esmena.
4. La resposta ha de ser conforme amb els requisits que preveu el present títol per a cada cas.
5. Correspon al responsable del tractament la prova del compliment del deure de resposta a què es refereix l’apartat 2, i ha de conservar l’acreditació del compliment del deure esmentat.
6. El responsable del fitxer ha d’adoptar les mesures oportunes per garantir que les persones de la seva organització que tenen accés a dades de caràcter personal puguin informar del procediment que ha de seguir l’afectat per a l’exercici dels seus drets.
7. L’exercici dels drets d’accés, rectificació, cancel·lació i oposició es pot modular per raons de seguretat pública en els casos i amb l’abast que preveuen les lleis.
8. Quan les lleis aplicables a determinats fitxers concrets estableixin un procediment especial per a la rectificació o cancel·lació de les dades que contenen, cal atenir-se al que aquestes disposen. Article 26. Exercici dels drets davant un encarregat del tractament
Quan els afectats exerceixin els seus drets davant un encarregat del tractament i sol·licitin l’exercici del seu dret davant d’aquests, l’encarregat ha de donar trasllat de la sol·licitud al responsable, a fi que aquest la resolgui, llevat que en la relació existent amb el responsable del tractament es prevegi precisament que l’encarregat ha d’atendre, per compte del responsable, les sol·licituds d’exercici per part dels afectats dels seus drets d’accés, rectificació, cancel·lació o oposició.
CAPÍTOL II DRET D’ACCÉS
Article 27. Dret d’accés
1. El dret d’accés és el dret de l’afectat a obtenir informació sobre si les seves pròpies dades de caràcter personal estan sent objecte de tractament, la finalitat del tractament que, si s’escau, s’estigui realitzant, així com la informació disponible sobre
§2
54
l’origen de les dades esmentades i les comunicacions realitzades o previstes d’aquestes.
2. En virtut del dret d’accés, l’afectat pot obtenir del responsable del tractament informació relativa a dades concretes, a dades incloses en un determinat fitxer, o a totes les seves dades sotmeses a tractament.
No obstant això, quan raons de complexitat especial ho justifiquin, el responsable del fitxer pot sol·licitar de l’afectat que especifiqui els fitxers respecte dels quals vulgui exercir el dret d’accés, i a aquest efecte li ha de facilitar una relació de tots els fitxers.
3. El dret d’accés és independent del que atorguen als afectats les lleis especials i en particular la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú. Article 28. Exercici del dret d’accés
1. En exercir el dret d’accés, l’afectat pot optar per rebre la informació a través d’un o diversos dels següents sistemes de consulta del fitxer:
a) Visualització en pantalla. b) Escrit, còpia o fotocòpia remesa per correu, certificat o no. c) Telecòpia. d) Correu electrònic o altres sistemes de comunicacions electròniques. e) Qualsevol altre sistema que sigui adequat a la configuració o implantació
material del fitxer o a la naturalesa del tractament, ofert pel responsable. 2. Els sistemes de consulta del fitxer que preveu l’apartat anterior es poden
restringir en funció de la configuració o implantació material del fitxer o de la naturalesa del tractament, sempre que el que s’ofereixi a l’afectat sigui gratuït i asseguri la comunicació escrita, si aquest així ho exigeix.
3. El responsable del fitxer, quan en faciliti l’accés, ha de complir el que estableix el títol VIII d’aquest Reglament.
Si el responsable ofereix un determinat sistema per fer efectiu el dret d’accés i l’afectat el rebutja, aquest no respon pels possibles riscos que per a la seguretat de la informació puguin derivar de l’elecció.
De la mateixa manera, si el responsable ofereix un procediment per fer efectiu el dret d’accés i l’afectat exigeix que aquest dret es materialitzi a través d’un procediment que impliqui un cost desproporcionat, quan el procediment ofert pel responsable produeix el mateix efecte i garanteix la mateixa seguretat, les despeses derivades de la seva elecció són a càrrec de l’afectat. Article 29. Atorgament de l’accés
1. El responsable del fitxer ha de resoldre sobre la sol·licitud d’accés en el termini màxim d’un mes a comptar de la recepció de la sol·licitud. Transcorregut el termini sense que de forma expressa es respongui a la petició d’accés, l’interessat pot interposar la reclamació que preveu l’article 18 de la Llei orgànica 15/1999, de 13 de desembre.
En cas que no disposi de dades de caràcter personal dels afectats, igualment els ho ha de comunicar en el mateix termini.
2. Si la sol·licitud és estimada i el responsable no acompanya la seva comunicació amb la informació a què es refereix l’article 27.1, l’accés s’ha de fer efectiu durant els deu dies següents a la comunicació esmentada.
§2
55
3. La informació que es proporcioni, sigui quin sigui el suport en què es faciliti, s’ha de donar de manera llegible i intel·ligible, sense que es facin servir claus o codis que requereixin l’ús de dispositius mecànics específics.
La informació ha d’incloure totes les dades de base de l’afectat, les resultants de qualsevol elaboració o procés informàtic, així com la informació disponible sobre l’origen de les dades, els cessionaris de les dades i l’especificació dels concrets usos i finalitats per als quals es van emmagatzemar les dades. Article 30. Denegació de l’accés
1. El responsable del fitxer o tractament pot denegar l’accés a les dades de caràcter personal quan el dret ja s’ha exercit en els dotze mesos anteriors a la sol·licitud, llevat que s’acrediti un interès legítim a aquest efecte.
2. També s’hi pot denegar l’accés en els supòsits en què ho prevegi una llei o una norma de dret comunitari aplicable directament o quan aquesta llei o norma impedeixin al responsable del tractament revelar als afectats el tractament de les dades a què es refereixi l’accés.
3. En tot cas, el responsable del fitxer ha d’informar l’afectat del seu dret a demanar la tutela de l’Agència Espanyola de Protecció de Dades o, si s’escau, de les autoritats de control de les comunitats autònomes, conforme al que disposa l’article 18 de la Llei orgànica 15/1999, de 13 de desembre.
CAPÍTOL III DRETS DE RECTIFICACIÓ I CANCEL·LACIÓ
Article 31. Drets de rectificació i cancel·lació
1. El dret de rectificació és el dret de l’afectat per tal que es modifiquin les dades que siguin inexactes o incompletes.
2. L’exercici del dret de cancel·lació dóna lloc al fet que se suprimeixin les dades que siguin inadequades o excessives, sense perjudici del deure de bloqueig conforme a aquest Reglament.
En els supòsits en què l’interessat invoqui l’exercici del dret de cancel·lació per revocar el consentiment prestat prèviament, cal atenir-se al que disposen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament. Article 32. Exercici dels drets de rectificació i cancel·lació
1. La sol·licitud de rectificació ha d’indicar a quines dades es refereix i la correcció que s’ha de fer, i ha d’anar acompanyada de la documentació justificativa del que se sol·licita.
En la sol·licitud de cancel·lació, l’interessat ha d’indicar a quines dades es refereix, i ha d’aportar a aquest efecte la documentació que ho justifiqui, si s’escau.
2. El responsable del fitxer ha de resoldre sobre la sol·licitud de rectificació o cancel·lació en el termini màxim de deu dies a comptar de la recepció de la sol·licitud. Transcorregut el termini sense que de forma expressa es respongui a la petició, l’interessat pot interposar la reclamació que preveu l’article 18 de la Llei orgànica 15/1999, de 13 de desembre.
§2
56
En cas que no disposi de dades de caràcter personal de l’afectat, igualment l’hi ha de comunicar en el mateix termini.
3. Si les dades rectificades o cancel·lades han estat cedides prèviament, el responsable del fitxer ha de comunicar-ne la rectificació o cancel·lació efectuada al cessionari, en un termini idèntic, perquè el cessionari, també en el termini de deu dies comptats des de la recepció de la dita comunicació, així mateix, rectifiqui o cancel·li les dades.
La rectificació o cancel·lació efectuada pel cessionari no requereix cap comunicació a l’interessat, sense perjudici de l’exercici dels drets per part dels interessats que reconeix la Llei orgànica 15/1999, de 13 de desembre. Article 33. Denegació dels drets de rectificació i cancel·lació
1. La cancel·lació no pertoca quan les dades de caràcter personal han de ser conservades durant els terminis que preveuen les disposicions aplicables o, si s’escau, les relacions contractuals entre la persona o l’entitat responsable del tractament i l’interessat que van justificar el tractament de les dades.
2. També es poden denegar els drets de rectificació o cancel·lació en els supòsits en què ho prevegi una llei o una norma de dret comunitari aplicable directament o quan aquesta llei o norma impedeixin al responsable del tractament revelar als afectats el tractament de les dades a què es refereixi l’accés.
3. En tot cas, el responsable del fitxer ha d’informar l’afectat del seu dret a demanar la tutela de l’Agència Espanyola de Protecció de Dades o, si s’escau, de les autoritats de control de les comunitats autònomes, conforme al que disposa l’article 18 de la Llei orgànica 15/1999, de 13 de desembre.
CAPÍTOL IV DRET D’OPOSICIÓ
Article 34. Dret d’oposició
El dret d’oposició és el dret de l’afectat per tal que no es porti a terme el tractament de les seves dades de caràcter personal o se cessi en aquest tractament en els supòsits següents:
a) Quan no sigui necessari el seu consentiment per al tractament, a conseqüència que hi hagi un motiu legítim i fundat, referit a la seva situació personal concreta, que ho justifiqui, sempre que una llei no disposi el contrari.
b) Quan es tracti de fitxers que tinguin per finalitat la realització d’activitats de publicitat i prospecció comercial, en els termes que preveu l’article 51 d’aquest Reglament, sigui quina sigui l’empresa responsable de la seva creació.
c) Quan el tractament tingui per finalitat l’adopció d’una decisió referida a l’afectat i basada únicament en un tractament automatitzat de les seves dades de caràcter personal, en els termes que preveu l’article 36 d’aquest Reglament.
Article 35. Exercici del dret d’oposició
1. El dret d’oposició s’ha d’exercir mitjançant una sol·licitud dirigida al responsable del tractament.
§2
57
Quan l’oposició es faci basant-se en la lletra a) de l’article anterior, en la sol·licitud s’hi han de fer constar els motius fundats i legítims, relatius a una situació personal concreta de l’afectat, que justifiquen l’exercici d’aquest dret.
2. El responsable del fitxer ha de resoldre sobre la sol·licitud d’oposició en el termini màxim de deu dies a comptar de la recepció de la sol·licitud. Transcorregut el termini sense que de forma expressa es respongui a la petició, l’interessat pot interposar la reclamació que preveu l’article 18 de la Llei orgànica 15/1999, de 13 de desembre.
En cas que no disposi de dades de caràcter personal dels afectats, igualment els ho ha de comunicar en el mateix termini.
3. El responsable del fitxer o tractament ha d’excloure del tractament les dades relatives a l’afectat que exerceixi el seu dret d’oposició o denegar motivadament la sol·licitud de l’interessat en el termini que preveu l’apartat 2 d’aquest article. Article 36. Dret d’oposició a les decisions basades únicament en un tractament automatitzat de dades
1. Els interessats tenen dret a no quedar sotmesos a una decisió amb efectes jurídics sobre ells mateixos o que els afecti de manera significativa, que es basi únicament en un tractament automatitzat de dades destinat a avaluar determinats aspectes de la seva personalitat, com ara el seu rendiment laboral, crèdit, fiabilitat o conducta.
2. No obstant això, els afectats poden quedar sotmesos a una de les decisions que preveu l’apartat 1 quan aquesta decisió:
a) S’ha adoptat en el marc de la subscripció o execució d’un contracte a petició de l’interessat, sempre que se li atorgui la possibilitat d’al·legar el que estimi pertinent, a fi de defensar el seu dret o interès. En tot cas, el responsable del fitxer ha d’informar prèviament l’afectat, de forma clara i precisa, que s’han d’adoptar decisions amb les característiques que assenyala l’apartat 1 i que ha de cancel·lar les dades en cas que no s’arribi a subscriure finalment el contracte.
b) L’autoritzi una norma amb rang de llei que estableixi mesures que garanteixin l’interès legítim de l’interessat.
TÍTOL IV DISPOSICIONS APLICABLES
A DETERMINATS FITXERS DE TITULARITAT PRIVADA
CAPÍTOL I FITXERS D’INFORMACIÓ
SOBRE SOLVÈNCIA PATRIMONIAL I CRÈDIT
SECCIÓ 1a DISPOSICIONS GENERALS
Article 37. Règim aplicable 1. El tractament de dades de caràcter personal sobre solvència patrimonial i crèdit,
que preveu l’apartat 1 de l’article 29 de la Llei orgànica 15/1999, de 13 de desembre,
§2
58
s’ha de sotmetre al que estableixen, amb caràcter general, la Llei orgànica esmentada i el present Reglament.
2. L’exercici dels drets d’accés, rectificació, cancel·lació i oposició, en el cas dels fitxers a què es refereix l’apartat anterior, es regeix pel que disposen els capítols I a IV del títol III del present Reglament, amb els criteris següents:
a) Quan la petició d’exercici dels drets es dirigeixi al responsable del fitxer, aquest està obligat a satisfer, en qualsevol cas, els drets esmentats.
b) Si la petició es dirigeix a les persones i entitats a què es presta el servei, aquestes només han de comunicar a l’afectat les dades que s’hi refereixin que els han estat comunicades i facilitar la identitat del responsable perquè, si s’escau, puguin exercir els seus drets davant d’ell.
3. De conformitat amb l’apartat 2 de l’article 29 de la Llei orgànica 15/1999, de 13 de desembre, també es poden tractar les dades de caràcter personal relatives al compliment o incompliment d’obligacions dineràries facilitades pel creditor o per qui actuï pel seu compte o interès.
Aquestes dades s’han de conservar en fitxers creats amb l’exclusiva finalitat de facilitar informació creditícia de l’afectat i el seu tractament es regeix pel que disposa el present Reglament i, en particular, per les previsions que conté la secció segona d’aquest capítol.
SECCIÓ 2a
TRACTAMENT DE DADES RELATIVES AL COMPLIMENT O INCOMPLIMENT D’OBLIGACIONS DINERÀRIES FACILITADES PEL CREDITOR O PER QUI ACTUÏ PEL SEU COMPTE O INTERÈS
Article 38. Requisits per a la inclusió de les dades54 1. Només és possible incloure en aquests fitxers dades de caràcter personal que
siguin determinants per enjudiciar la solvència econòmica de l’afectat, sempre que concorrin els requisits següents:
a) Existència prèvia d’un deute cert, vençut, exigible, que ha resultat impagat i respecte del qual no s’ha interposat una reclamació judicial, arbitral o administrativa, o si es tracta de serveis financers, no s’ha plantejat una reclamació en els termes que preveu el Reglament dels comissionats per a la defensa del client de serveis financers, aprovat pel Reial decret 303/2004, de 20 de febrer.
b) Que no han transcorregut sis anys des de la data en què es va haver de procedir al pagament del deute o del venciment de l’obligació o del termini concret si aquell és de venciment periòdic.
c) Requeriment previ de pagament a qui correspongui el compliment de l’obligació.
2. (Anul·lat) 3. El creditor o qui actuï pel seu compte o interès està obligat a conservar a
disposició del responsable del fitxer comú i de l’Agència Espanyola de Protecció de Dades la documentació suficient que acrediti el compliment dels requisits que estableix aquest article i del requeriment previ a què es refereix l’article següent.
54
Text en cursiva de l’apartat 1 de la lletra a) i apartat 2 declarats nuls per les STS de 15 de juliol de 2010, esmentades en la nota 49.
§2
59
Article 39. Informació prèvia a la inclusió
El creditor ha d’informar el deutor, en el moment en què se subscrigui el contracte i, en tot cas, en el moment d’efectuar el requeriment a què es refereix la lletra c) de l’apartat 1 de l’article anterior, que en cas que no es produeixi el pagament en el terme previst per fer-ho i es compleixin els requisits que preveu l’article esmentat, les dades relatives a l’impagament es poden comunicar a fitxers relatius al compliment o incompliment d’obligacions dineràries. Article 40. Notificació d’inclusió
1. El responsable del fitxer comú ha de notificar als interessats respecte dels quals han registrat dades de caràcter personal, en el termini de trenta dies des del dit registre, una referència de les que han estat incloses, i també els ha d’informar de la possibilitat d’exercir els seus drets d’accés, rectificació, cancel·lació i oposició, en els termes que estableix la Llei orgànica 15/1999, de 13 de desembre.
2. S’ha d’efectuar una notificació per cada deute concret i determinat amb independència que aquest deute es tingui amb el mateix creditor o amb diversos.
3. La notificació s’ha d’efectuar a través d’un mitjà fiable, auditable i independent de l’entitat notificadora, que li permeti acreditar l’efectiva realització dels enviaments.
4. En tot cas, és necessari que el responsable del fitxer pugui conèixer si la notificació ha estat objecte de devolució per qualsevol causa, cas en què no pot procedir al tractament de les dades que es refereixen a aquest interessat.
No es consideren suficients perquè no es pugui procedir al tractament de les dades referides a un interessat les devolucions en què el destinatari hagi refusat rebre l’enviament.
5. Si la notificació d’inclusió es retorna, el responsable del fitxer comú ha de comprovar amb l’entitat creditora que l’adreça utilitzada per efectuar la dita notificació es correspon amb la pactada contractualment amb el client als efectes de comunicacions, i no ha d’efectuar el tractament de les dades si l’entitat esmentada no confirma l’exactitud d’aquesta dada. Article 41. Conservació de les dades
1. Només poden ser objecte de tractament les dades que responguin amb veracitat a la situació del deute en cada moment concret.
El pagament o compliment del deute determina la cancel·lació immediata de qualsevol dada que en fa referència.
2. En els restants supòsits, les dades han de ser cancel·lades quan s’hagin complert sis anys comptats a partir del venciment de l’obligació o del termini concret, si aquell és de venciment periòdic. Article 42. Accés a la informació que conté el fitxer
1. Les dades que conté el fitxer comú només poden ser consultades per tercers quan necessitin enjudiciar la solvència econòmica de l’afectat. En particular, es considera que es dóna la circumstància esmentada en els supòsits següents:
a) Que l’afectat mantingui amb el tercer algun tipus de relació contractual que encara no estigui vençuda.
§2
60
b) Que l’afectat pretengui subscriure amb el tercer un contracte que impliqui el pagament ajornat del preu.
c) Que l’afectat pretengui contractar amb el tercer la prestació d’un servei de facturació periòdica.
2. Els tercers han d’informar per escrit les persones en les quals concorrin els supòsits que preveuen les lletres b) i c) precedents del seu dret a consultar el fitxer.
En els supòsits de contractació telefònica dels productes o serveis a què es refereix el paràgraf anterior, la informació es pot efectuar de forma no escrita, i al tercer li correspon la prova del compliment del deure d’informar. Article 43. Responsabilitat
1. El creditor o qui actuï pel seu compte o interès s’ha d’assegurar que hi concorren tots els requisits exigits en els articles 38 i 39 en el moment de notificar les dades adverses al responsable del fitxer comú.
2. El creditor o qui actuï pel seu compte o interès és responsable de la inexistència o inexactitud de les dades que ha facilitat perquè s’incloguin en el fitxer, en els termes que preveu la Llei orgànica 15/1999, de 13 de desembre. Article 44. Exercici dels drets d’accés, rectificació, cancel·lació i oposició
1. L’exercici dels drets d’accés, rectificació, cancel·lació i oposició es regeix pel que disposen els capítols I a IV del títol III d’aquest Reglament, sense perjudici del que assenyala el present article.
2. Quan l’interessat exerciti el seu dret d’accés en relació amb la inclusió de les seves dades en un fitxer que regula l’article 29.2 de la Llei orgànica 15/1999, de 13 de desembre, s’han de tenir en compte les regles següents:
1a Si la sol·licitud es dirigeix al titular del fitxer comú, aquest ha de comunicar a l’afectat totes les dades que s’hi refereixen que constin en el fitxer. En aquest cas, el titular del fitxer comú, a més de donar compliment al que estableix el present Reglament, ha de facilitar les avaluacions i apreciacions que sobre l’afectat s’han comunicat en els últims sis mesos i el nom i l’adreça dels cessionaris.
2a Si la sol·licitud es dirigeix a qualsevol altra entitat que participa en el sistema, ha de comunicar a l’afectat totes les dades que s’hi refereixen a les quals l’entitat pugui accedir, així com la identitat i adreça del titular del fitxer comú perquè pugui completar l’exercici del seu dret d’accés.
3. Quan l’interessat exerceixi els seus drets de rectificació o cancel·lació en relació amb la inclusió de les seves dades en un fitxer que regula l’article 29.2 de la Llei orgànica 15/1999, de 13 de desembre, s’han de tenir en compte les regles següents:
1a Si la sol·licitud es dirigeix al titular del fitxer comú, aquest ha de prendre les mesures oportunes per traslladar la dita sol·licitud a l’entitat que ha facilitat les dades, perquè aquesta en dicti resolució. En cas que el responsable del fitxer comú no hagi rebut contestació per part de l’entitat en el termini de set dies, ha de fer-ne a la rectificació o cancel·lació cautelar.
2a Si la sol·licitud es dirigeix a qui ha facilitat les dades al fitxer comú, ha de fer-ne a la rectificació o cancel·lació en els seus fitxers i ho ha de notificar al titular del fitxer comú en el termini de deu dies, i també ha de donar resposta a l’interessat en els termes que preveu l’article 33 d’aquest Reglament.
§2
61
3a Si la sol·licitud es dirigeix a una altra entitat que participa en el sistema que no ha facilitat les dades al fitxer comú, la dita entitat ha d’informar l’afectat sobre aquest fet en el termini màxim de deu dies i, a més, li ha de proporcionar la identitat i adreça del titular del fitxer comú perquè, si s’escau, pugui exercir els seus drets davant d’aquest.
CAPÍTOL II TRACTAMENTS PER A ACTIVITATS
DE PUBLICITAT I PROSPECCIÓ COMERCIAL
Article 45. Dades susceptibles de tractament i informació a l’interessat
1. Els qui es dediquin a la recopilació d’adreces, repartiment de documents, publicitat, venda a distància, prospecció comercial i altres activitats anàlogues, així com els qui realitzin aquestes activitats amb la finalitat de comercialitzar els seus propis productes o serveis o els de tercers, només poden utilitzar noms i adreces o altres dades de caràcter personal quan es trobin en un dels casos següents:
a) Figuren en alguna de les fonts accessibles al públic a què es refereixen la lletra j) de l’article 3 de la Llei orgànica 15/1999, de 13 de desembre, i l’article 7 d’aquest Reglament, i l’interessat no ha manifestat la seva negativa o oposició perquè les seves dades siguin objecte de tractament per a les activitats descrites en aquest apartat.
b) Han estat facilitades pels mateixos interessats o obtingudes amb el seu consentiment per a finalitats determinades, explícites i legítimes relacionades amb l’activitat de publicitat o prospecció comercial, i s’ha informat els interessats sobre els sectors específics i concrets d’activitat respecte dels quals pot rebre informació o publicitat.
2. Quan les dades procedeixin de fonts accessibles al públic i es destinin a l’activitat de publicitat o prospecció comercial, s’ha d’informar l’interessat en cada comunicació que se li adreci de l’origen de les dades i de la identitat del responsable del tractament, així com dels drets que li assisteixen, amb indicació de davant de qui es poden exercir.
A aquest efecte, l’interessat ha de ser informat del fet que les seves dades s’han obtingut de fonts accessibles al públic i de l’entitat de la qual s’han obtingut. Article 46. Tractament de dades en campanyes publicitàries
1. Perquè una entitat pugui realitzar per si mateixa una activitat publicitària dels seus productes o serveis entre els seus clients, és necessari que el tractament s’empari en algun dels supòsits que preveu l’article 6 de la Llei orgànica 15/1999, de 13 de desembre.
2. En cas que una entitat contracti amb tercers o els encarregui la realització d’una determinada campanya publicitària dels seus productes o serveis, i els encomani el tractament de determinades dades, s’han d’aplicar les normes següents:
a) Quan els paràmetres identificatius dels destinataris de la campanya siguin fixats per l’entitat que contracti la campanya, aquesta és responsable del tractament de les dades.
b) Quan els paràmetres siguin determinats únicament per l’entitat o les entitats contractades, aquestes són les responsable del tractament.
§2
62
c) Quan en la determinació dels paràmetres hi intervinguin les dues entitats, les dues són responsables del tractament.
3. En el supòsit que preveu l’apartat anterior, l’entitat que encarregui la realització de la campanya publicitària ha d’adoptar les mesures necessàries per assegurar-se que l’entitat contractada ha sol·licitat les dades complint les exigències que estableixen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
4. Als efectes que preveu aquest article, es consideren paràmetres identificatius dels destinataris les variables utilitzades per identificar el públic objectiu o destinatari d’una campanya o promoció comercial de productes o serveis que permetin delimitar els seus destinataris individuals. Article 47. Depuració de dades personals
Quan dos o més responsables per si mateixos o mitjançant encàrrec a tercers pretenguin constatar sense consentiment dels afectats, amb fins de promoció o comercialització dels seus productes o serveis i mitjançant un tractament encreuat dels seus fitxers, els qui exerceixin la condició de clients de l’un o l’altre o de diversos, el tractament efectuat així constitueix una cessió o comunicació de dades. Article 48. Fitxers d’exclusió de l’enviament de comunicacions comercials
Els responsables als quals l’afectat ha manifestat la seva negativa a rebre publicitat poden conservar les mínimes dades imprescindibles per identificar-lo i adoptar les mesures necessàries que evitin l’enviament de publicitat. Article 49. Fitxers comuns d’exclusió de l’enviament de comunicacions comercials
1. És possible la creació de fitxers comuns, de caràcter general o sectorial, en què siguin objecte de tractament les dades de caràcter personal que siguin necessàries per evitar l’enviament de comunicacions comercials als interessats que manifestin la seva negativa o oposició a rebre publicitat.
A aquest efecte, els fitxers esmentats poden contenir les mínimes dades imprescindibles per identificar l’afectat.
2. Quan l’afectat manifesti davant un responsable concret la seva negativa o oposició al fet que les seves dades siguin tractades amb fins de publicitat o prospecció comercial, aquell ha de ser informat de l’existència dels fitxers comuns d’exclusió generals o sectorials, així com de la identitat del seu responsable, el seu domicili i la finalitat del tractament.
L’afectat pot sol·licitar la seva exclusió respecte d’un fitxer o tractament concret o la seva inclusió en fitxers comuns d’ exclosos de caràcter general o sectorial.
3. L’entitat responsable del fitxer comú pot tractar les dades dels interessats que han manifestat la seva negativa o oposició al tractament de les seves dades amb fins de publicitat o prospecció comercial, en compliment de les restants obligacions que estableixen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
4. Els qui pretenguin efectuar un tractament relacionat amb activitats de publicitat o prospecció comercial han de consultar prèviament els fitxers comuns que puguin afectar la seva actuació, a fi d’evitar que siguin objecte de tractament les dades dels afectats que han manifestat la seva oposició o negativa a aquest tractament.
§2
63
Article 50. Drets d’accés, rectificació i cancel·lació
1. L’exercici dels drets d’accés, rectificació i cancel·lació en relació amb els tractaments vinculats a activitats de publicitat i prospecció comercial s’ha de sotmetre al que preveuen els capítols I a IV del títol III d’aquest Reglament.
2. Si el dret s’exerceix davant una entitat que ha encarregat a un tercer la realització d’una campanya publicitària, aquesta entitat està obligada, en el termini de deu dies, des de la recepció de la comunicació de la sol·licitud d’exercici de drets de l’afectat, a comunicar la sol·licitud al responsable del fitxer a fi que atorgui a l’afectat el seu dret en el termini de deu dies des de la recepció de la comunicació, i n’ha de donar compte a l’afectat.
El que disposa el paràgraf anterior s’entén sense perjudici del deure que imposa a l’entitat esmentada l’apartat anterior, en tot cas, el paràgraf segon de l’article 5.5 de la Llei orgànica 15/1999, de 13 de desembre. Article 51. Dret d’oposició
1. Els interessats tenen dret a oposar-se, amb una petició prèvia i sense despeses, al tractament de les dades que els concerneixen, cas en què han de ser donats de baixa del tractament, i s’han de cancel·lar les informacions que sobre ells hi figurin, amb la seva simple sol·licitud.
L’oposició a què es refereix el paràgraf anterior s’ha d’entendre sense perjudici del dret de l’interessat a revocar quan ho estimi oportú el consentiment que ha atorgat, si s’escau, per al tractament de les dades.
2. A aquest efecte, s’ha de concedir a l’interessat un mitjà senzill i gratuït per oposar-se al tractament. En particular, es considera complert el que disposa aquest precepte quan els drets es puguin exercir mitjançant la trucada a un número telefònic gratuït o la tramesa d’un correu electrònic.
3. Quan el responsable del fitxer o tractament disposi de serveis de qualsevol índole per a l’atenció als seus clients o l’exercici de reclamacions relacionades amb el servei prestat o els productes que s’hi ofereixen, s’ha de concedir a l’afectat la possibilitat d’exercir la seva oposició a través dels serveis esmentats.
No es consideren conformes amb el que disposa la Llei orgànica 15/1999, de 13 de desembre, els supòsits en què el responsable del tractament estableixi com a mitjà perquè l’interessat pugui exercir la seva oposició l’enviament de cartes certificades o enviaments semblants, la utilització de serveis de telecomunicacions que impliqui una tarifació addicional a l’afectat o qualssevol altres mitjans que impliquin un cost excessiu per a l’interessat.
En tot cas, l’exercici per part de l’afectat dels seus drets no pot suposar un ingrés addicional per al responsable del tractament davant el qual s’exerceixen.
4. Si el dret d’oposició s’exerceix davant una entitat que ha encomanat a un tercer la realització d’una campanya publicitària, aquesta entitat està obligada a comunicar, en el termini de deu dies des de la recepció de la comunicació de la sol·licitud d’exercici de drets de l’afectat, la sol·licitud al responsable del fitxer a fi que atengui el dret de l’afectat en el termini de deu dies des de la recepció de la comunicació, i n’ha de donar compte a l’afectat.
§2
64
El que disposa el paràgraf anterior s’entén sense perjudici del deure que imposa a l’entitat esmentada l’apartat anterior, en tot cas, el paràgraf segon de l’article 5.5 de la Llei orgànica 15/1999, de 13 de desembre.
TÍTOL V OBLIGACIONS PRÈVIES AL TRACTAMENT DE LES DADES
CAPÍTOL I
CREACIÓ, MODIFICACIÓ O SUPRESSIÓ DE FITXERS DE TITULARITAT PÚBLICA
Article 52. Disposició o acord de creació, modificació o supressió del fitxer
1. La creació, modificació o supressió dels fitxers de titularitat pública només es pot fer per mitjà d’una disposició general o acord publicats en el Butlletí Oficial de l’Estat o diari oficial corresponent.
2. En tot cas, la disposició o acord s’ha de dictar i publicar amb caràcter previ a la creació, modificació o supressió del fitxer. Article 53. Forma de la disposició o acord
1. Quan la disposició es refereixi als òrgans de l’Administració General de l’Estat o a les entitats o organismes vinculats o que en depenen, ha de revestir la forma d’ordre ministerial o resolució del titular de l’entitat o organisme corresponent.
2. En el cas dels òrgans constitucionals de l’Estat, cal atenir-se al que estableixin les seves normes reguladores.
3. En relació amb els fitxers dels quals siguin responsables les comunitats autònomes, entitats locals i les entitats o organismes vinculats o que en depenen, les universitats públiques, així com els òrgans de les comunitats autònomes amb funcions anàlogues als òrgans constitucionals de l’Estat, cal atenir-se a la seva legislació específica.55
4. La creació, modificació o supressió dels fitxers dels quals siguin responsables les corporacions de dret públic i que estiguin relacionats amb l’exercici de potestats de dret públic per aquestes s’ha d’efectuar a través d’un acord dels seus òrgans de govern, en els termes que estableixin els seus respectius estatuts, i igualment han de ser objecte de publicació en el Butlletí Oficial de l’Estat o diari oficial corresponent. Article 54. Contingut de la disposició o acord
1. La disposició o acord de creació del fitxer ha de contenir els aspectes següents: a) La identificació del fitxer o tractament, que ha d’indicar-ne la denominació, així
com la descripció de la finalitat i usos previstos. b) L’origen de les dades, amb indicació del col·lectiu de persones sobre les quals es
pretén obtenir dades de caràcter personal o que estiguin obligats a subministrar-les, el procediment de recollida de les dades i la seva procedència.
c) L’estructura bàsica del fitxer, mitjançant la descripció detallada de les dades identificatives, i si s’escau, de les dades especialment protegides, així com de les
55
Vid. articles 38 a 47 de la Llei 4/2001, de 14 de març, esmentada en la nota 21.
§2
65
restants categories de dades de caràcter personal que hi estan incloses i el sistema de tractament utilitzat en la seva organització.
d) Les comunicacions de dades previstes, on s’indiquin, si s’escau, els destinataris o categories de destinataris.
e) Les transferències internacionals de dades previstes a tercers països, amb indicació, si s’escau, dels països de destí de les dades.
f) Els òrgans responsables del fitxer. g) Els serveis o unitats davant els quals es puguin exercir els drets d’accés,
rectificació, cancel·lació i oposició. h) El nivell bàsic, mitjà o alt de seguretat que sigui exigible, d’acord amb el que
estableix el títol VIII del present Reglament. 2. La disposició o acord de modificació del fitxer ha d’indicar les modificacions
produïdes en qualsevol dels aspectes a què es refereix l’apartat anterior. 3. En les disposicions o acords que es dictin per a la supressió dels fitxers, s’ha
d’establir el destí que s’ha de donar a les dades o, si s’escau, les previsions que s’adoptin per tal de destruir-les.
CAPÍTOL II NOTIFICACIÓ I INSCRIPCIÓ DELS FITXERS
DE TITULARITAT PÚBLICA O PRIVADA
Article 55. Notificació de fitxers
1. Qualsevol fitxer de dades de caràcter personal de titularitat pública l’ha de notificar l’òrgan competent de l’Administració responsable del fitxer a l’Agència Espanyola de Protecció de Dades per a la seva inscripció en el Registre General de Protecció de Dades, en el termini de trenta dies des de la publicació de la seva norma o acord de creació en el diari oficial corresponent.
2. Els fitxers de dades de caràcter personal de titularitat privada els ha de notificar a l’Agència Espanyola de Protecció de Dades la persona o entitat privada que pretengui crear-los, amb caràcter previ a la seva creació. La notificació ha d’indicar la identificació del responsable del fitxer, la identificació del fitxer, les seves finalitats i els usos previstos, el sistema de tractament utilitzat en la seva organització, el col·lectiu de persones sobre el qual s’obtenen les dades, el procediment i procedència de les dades, les categories de dades, el servei o unitat d’accés, la indicació del nivell de mesures de seguretat bàsic, mitjà o alt exigible, i, si s’escau, la identificació de l’encarregat del tractament on estigui ubicat el fitxer i els destinataris de cessions i transferències internacionals de dades.
3. Quan l’obligació de notificar afecti fitxers subjectes a la competència de l’autoritat de control d’una comunitat autònoma que ha creat el seu propi registre de fitxers, la notificació s’ha d’efectuar a l’autoritat autonòmica competent, que ha de donar trasllat de la inscripció al Registre General de Protecció de Dades.
El Registre General de Protecció de Dades pot sol·licitar de les autoritats de control de les comunitats autònomes el trasllat a què refereix el paràgraf anterior, i procedir, si no n’hi ha, a la inclusió d’ofici del fitxer en el Registre.
4. La notificació s’ha de realitzar conforme al procediment que estableix la secció primera del capítol IV del títol IX del present Reglament.
§2
66
Article 56. Tractament de dades en diferents suports
1. La notificació d’un fitxer de dades de caràcter personal és independent del sistema de tractament que s’utilitza en la seva organització i del suport o suports utilitzats per al tractament de les dades.
2. Quan les dades de caràcter personal objecte d’un tractament estiguin emmagatzemades en diferents suports, automatitzats i no automatitzats, o hi hagi una còpia en suport no automatitzat d’un fitxer automatitzat, només cal una sola notificació, referida al fitxer esmentat. Article 57. Fitxers en què hi hagi més d’un responsable
Quan es tingui previst crear un fitxer del qual siguin responsables simultàniament diverses persones o entitats, cadascuna ha de notificar, a fi de procedir a la seva inscripció en el Registre General de Protecció de Dades i, si s’escau, en els registres de fitxers creats per les autoritats de control de les comunitats autònomes, la creació del fitxer corresponent. Article 58. Notificació de la modificació o supressió de fitxers
1. La inscripció del fitxer sempre ha d’estar actualitzada. Qualsevol modificació que afecti el contingut de la inscripció d’un fitxer s’ha de notificar prèviament a l’Agència Espanyola de Protecció de Dades o a les autoritats de control autonòmiques competents, a fi de procedir a la seva inscripció en el registre corresponent, conforme al que disposa l’article 55.
2. Quan el responsable del fitxer decideixi suprimir-lo, ho ha de notificar a l’efecte que es procedeixi a la cancel·lació de la inscripció en el registre corresponent.
3. Si es tracta de fitxers de titularitat pública, quan es pretengui la modificació que afecti algun dels requisits que preveu l’article 55 o la supressió del fitxer, s’ha d’haver adoptat, amb caràcter previ a la notificació, la corresponent norma o acord en els termes que preveu el capítol I d’aquest títol. Article 59. Models i suports per a la notificació
1. L’Agència Espanyola de Protecció de Dades ha de publicar, mitjançant la corresponent resolució del director, els models o formularis electrònics de notificació de creació, modificació o supressió de fitxers, que en permetin la presentació a través de mitjans telemàtics o en suport de paper, així com, amb la consulta prèvia de les autoritats de protecció de dades de les comunitats autònomes, els formats per a la comunicació telemàtica de fitxers públics per part de les autoritats de control autonòmiques, de conformitat amb el que estableixen els articles 55 i 58 del present Reglament.
2. Els models o formularis electrònics de notificació es poden obtenir gratuïtament en la pàgina web de l’Agència Espanyola de Protecció de Dades.
3. El director de l’Agència Espanyola de Protecció de Dades pot establir procediments simplificats de notificació tenint en compte les circumstàncies que es donin en el tractament o el tipus de fitxer a què es refereixi la notificació.
§2
67
Article 60. Inscripció dels fitxers
1. El director de l’Agència Espanyola de Protecció de Dades, a proposta del Registre General de Protecció de Dades, ha de dictar resolució per la qual s’acorda, si s’escau, la inscripció, una vegada tramitat el procediment que preveu el capítol IV del títol IX.
2. La inscripció ha de contenir el codi assignat pel Registre, la identificació del responsable del fitxer, la identificació del fitxer o tractament, la descripció de la seva finalitat i usos previstos, el sistema de tractament utilitzat en la seva organització, si s’escau, el col·lectiu de persones sobre el qual s’obtenen les dades, el procediment i procedència de les dades, les categories de dades, el servei o unitat d’accés, i la indicació del nivell de mesures de seguretat exigible conforme al que disposa l’article 81.
Així mateix s’han d’incloure, si s’escau, la identificació de l’encarregat del tractament on estigui ubicat el fitxer i els destinataris de cessions i transferències internacionals.
En el cas de fitxers de titularitat pública, també s’ha de fer constar la referència de la disposició general per la qual ha estat creat, i si s’escau, modificat.
3. La inscripció d’un fitxer en el Registre General de Protecció de Dades no eximeix el responsable del compliment de la resta de les obligacions que preveuen la Llei orgànica 15/1999, de 13 de desembre, i altres disposicions reglamentàries. Article 61. Cancel·lació de la inscripció
1. Quan el responsable del tractament, en virtut del que disposa l’article 58 d’aquest Reglament, comuniqui la supressió del fitxer, el director de l’Agència Espanyola de Protecció de Dades, amb la tramitació prèvia del procediment establert en la secció primera del capítol IV del títol IX, ha de dictar resolució per la qual s’acordi la cancel·lació de la inscripció corresponent al fitxer.
2. El director de l’Agència Espanyola de Protecció de Dades, en exercici de les seves competències, pot acordar d’ofici la cancel·lació de la inscripció d’un fitxer quan hi concorrin circumstàncies que acreditin la impossibilitat de la seva existència, amb la tramitació prèvia del procediment establert en la secció segona del capítol IV del títol IX d’aquest Reglament. Article 62. Rectificació d’errors
El Registre General de Protecció de Dades pot rectificar en qualsevol moment, d’ofici o a instància dels interessats, els errors materials, de fet o aritmètics, que hi pugui haver en les inscripcions, de conformitat amb el que disposa l’article 105 de la Llei 30/1992, de 26 de novembre. Article 63. Inscripció d’ofici de fitxers de titularitat pública
1. En casos excepcionals, amb la finalitat de garantir el dret a la protecció de dades dels afectats, i sense perjudici de l’obligació de notificació, es pot procedir a la inscripció d’ofici d’un determinat fitxer en el Registre General de Protecció de Dades.
2. A fi que el que disposa l’apartat anterior sigui aplicable és requisit indispensable que la corresponent norma o acord regulador dels fitxers que continguin dades de caràcter personal s’hagi publicat en el corresponent diari oficial i compleixi els requisits que estableixen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
§2
68
3. El director de l’Agència Espanyola de Protecció de Dades pot acordar, a proposta del Registre General de Protecció de Dades, la inscripció del fitxer de titularitat pública en el Registre, i s’ha de notificar l’acord esmentat a l’òrgan responsable del fitxer.
Quan la inscripció es refereixi a fitxers subjectes a la competència de l’autoritat de control d’una comunitat autònoma que ha creat el seu propi registre de fitxers, s’ha de comunicar a l’esmentada autoritat de control autonòmica perquè procedeixi, si s’escau, a la inscripció d’ofici. Article 64. Col·laboració amb les autoritats de control de les comunitats autònomes
El director de l’Agència Espanyola de Protecció de Dades pot subscriure amb els directors de les autoritats de control de les comunitats autònomes els convenis de col·laboració o acords que estimi pertinents, a fi de garantir la inscripció en el Registre General de Protecció de Dades dels fitxers sotmesos a la competència de les autoritats autonòmiques esmentades.
TÍTOL VI TRANSFERÈNCIES INTERNACIONALS DE DADES
CAPÍTOL I
DISPOSICIONS GENERALS
Article 65. Compliment de les disposicions de la Llei orgànica 15/1999, de 13 de desembre
La transferència internacional de dades no exclou en cap cas l’aplicació de les disposicions que contenen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament. Article 66. Autorització i notificació
1. Perquè la transferència internacional de dades es pugui considerar conforme amb el que disposen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament, és necessària l’autorització del director de l’Agència Espanyola de Protecció de Dades, que s’ha d’atorgar en cas que l’exportador aporti les garanties a què es refereix l’article 70 del present Reglament.
L’autorització s’ha d’atorgar conforme al procediment que estableix la secció primera del capítol V del títol IX d’aquest Reglament.
2. L’autorització no és necessària: a) Quan l’Estat en què estigui l’importador ofereixi un nivell adequat de protecció
conforme amb el que preveu el capítol II d’aquest títol. b) Quan la transferència es trobi en un dels supòsits que preveuen els apartats a) a
j) de l’article 34 de la Llei orgànica 15/1999, de 13 de desembre. 3. En tot cas, la transferència internacional de dades ha de ser notificada a fi de
procedir a la seva inscripció en el Registre General de Protecció de Dades, conforme al procediment establert en la secció primera del capítol IV del títol IX del present Reglament.
§2
69
CAPÍTOL II TRANSFERÈNCIES A ESTATS
QUE PROPORCIONIN UN NIVELL ADEQUAT DE PROTECCIÓ
Article 67. Nivell adequat de protecció acordat per l’Agència Espanyola de Protecció de Dades
1. No cal l’autorització del director de l’Agència Espanyola de Protecció de Dades a una transferència internacional de dades quan les normes aplicables a l’Estat en què estigui l’importador ofereixin l’esmentat nivell adequat de protecció segons el parer del director de l’Agència Espanyola de Protecció de Dades.
El caràcter adequat del nivell de protecció que ofereix el país de destí s’ha d’avaluar atenent totes les circumstàncies que concorrin en la transferència o categoria de transferència de dades. En particular, s’ha de prendre en consideració la naturalesa de les dades, la finalitat i la durada del tractament o dels tractaments previstos, el país d’origen i el país de destí final, les normes de dret, generals o sectorials, vigents al país tercer de què es tracti, el contingut dels informes de la Comissió de la Unió Europea, així com les normes professionals i les mesures de seguretat en vigor en els països esmentats.
Les resolucions del director de l’Agència Espanyola de Protecció de Dades per les quals s’acordi que un determinat país proporciona un nivell adequat de protecció de dades s’han de publicar en el Butlletí Oficial de l’Estat.
2. El director de l’Agència Espanyola de Protecció de Dades ha d’acordar la publicació de la relació de països el nivell de protecció del quals ha estat considerat equiparable conforme al que disposa l’apartat anterior.
Així mateix, aquesta llista s’ha de publicar i mantenir actualitzada a través de mitjans informàtics o telemàtics. Article 68. Nivell adequat de protecció declarat per la Decisió de la Comissió Europea
No és necessària l’autorització del director de l’Agència Espanyola de Protecció de Dades per a la realització d’una transferència internacional de dades que tingui per importador una persona o entitat, pública o privada, situada en el territori d’un Estat respecte del qual la Comissió Europea ha declarat l’existència d’un nivell adequat de protecció. Article 69. Suspensió temporal de les transferències
1. En els supòsits que preveuen els articles precedents, el director de l’Agència Espanyola de Protecció de Dades, en ús de la potestat que li atorga l’article 37.1.f) de la Llei orgànica 15/1999, de 13 de desembre, pot acordar, amb l’audiència prèvia de l’exportador, la suspensió temporal de la transferència de dades cap a un importador situat en un tercer Estat del qual s’ha declarat l’existència d’un nivell adequat de protecció, quan s’hi doni alguna de les circumstàncies següents:
a) Que les autoritats de protecció de dades de l’Estat importador o qualsevol altra de competent, en cas que no hi hagi les primeres, resolguin que l’importador ha vulnerat les normes de protecció de dades que estableix el seu dret intern.
b) Que hi hagi indicis racionals que s’estan vulnerant les normes o, si s’escau, els principis de protecció de dades per part de l’entitat importadora de la
§2
70
transferència i que les autoritats competents a l’Estat on estigui l’importador no han adoptat o no han d’adoptar en el futur les mesures oportunes per resoldre el cas en qüestió, situació de la qual els ha advertit l’Agència Espanyola de Protecció de Dades. En aquest cas es pot suspendre la transferència quan la seva continuació pugui generar un risc imminent de greu perjudici als afectats.
2. La suspensió s’ha d’acordar amb la tramitació prèvia del procediment que estableix la secció segona del capítol V del títol IX del present Reglament.
En aquests casos, la decisió del director de l’Agència Espanyola de Protecció de Dades s’ha de notificar a la Comissió Europea.
CAPÍTOL III TRANSFERÈNCIES A ESTATS
QUE NO PROPORCIONIN UN NIVELL ADEQUAT DE PROTECCIÓ
Article 70. Transferències subjectes a autorització del director de l’Agència Espanyola de Protecció de Dades
1. Quan la transferència tingui per destí un Estat respecte del qual la Comissió Europea no ha declarat que hi ha un nivell adequat de protecció o el director de l’Agència Espanyola de Protecció de Dades no ho considera, és necessari sol·licitar l’autorització del director de l’Agència Espanyola de Protecció de Dades.
L’autorització de la transferència s’ha de tramitar conforme al procediment establert en la secció primera del capítol V del títol IX del present Reglament.
2. L’autorització pot ser atorgada en cas que el responsable del fitxer o tractament aporti un contracte escrit, subscrit entre l’exportador i l’importador, en el qual constin les necessàries garanties de respecte per la protecció de la vida privada dels afectats i els seus drets i llibertats fonamentals i es garanteixi l’exercici dels seus drets respectius.
A aquest efecte, es considera que estableixen les garanties adequades els contractes que se subscriguin d’acord amb el que preveuen les decisions de la Comissió Europea 2001/497/CE, de 15 de juny de 2001, 2002/16/CE, de 27 de desembre de 2001, i 2004/915/CE, de 27 de desembre de 2004, o el que disposin les decisions de la Comissió que donin compliment al que estableix l’article 26.4 de la Directiva 95/46/CE.
3. En el supòsit que preveu l’apartat anterior, el director de l’Agència Espanyola de Protecció de Dades pot denegar o, en ús de la potestat que li atorga l’article 37.1.f) de la Llei orgànica 15/1999, de 13 de desembre, suspendre temporalment, amb l’audiència prèvia de l’exportador, la transferència, quan es doni alguna de les circumstàncies següents:
a) Que la situació de protecció dels drets fonamentals i llibertats públiques al país de destí o la seva legislació impedeixin garantir el compliment íntegre del contracte i l’exercici per part dels afectats dels drets que el contracte garanteix.
b) Que l’entitat destinatària hagi incomplert prèviament les garanties establertes en clàusules contractuals d’aquest tipus.
c) Que hi hagi indicis racionals que les garanties ofertes pel contracte no estan sent respectades per l’importador o no ho seran.
d) Que hi ha indicis racionals que els mecanismes d’aplicació del contracte no són efectius o no ho seran.
§2
71
e) Que la transferència, o la seva continuació, en cas que s’hagi iniciat, pugui crear una situació de risc de dany efectiu als afectats. La suspensió s’ha d’acordar amb la tramitació prèvia del procediment que estableix la secció segona del capítol V del títol IX del present Reglament. Les resolucions del director de l’Agència Espanyola de Protecció de Dades per les quals es denegui o se suspengui una transferència internacional de dades en virtut de les causes a què es refereix aquest apartat s’han de notificar a la Comissió de les Comunitats Europees quan així sigui exigible.
4. També es pot atorgar l’autorització per a la transferència internacional de dades en el si de grups multinacionals d’empreses quan aquests grups hagin adoptat normes o regles internes en què constin les necessàries garanties de respecte per la protecció de la vida privada i el dret fonamental a la protecció de dades dels afectats i es garanteixi, així mateix, el compliment dels principis i l’exercici dels drets que reconeix la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
En aquest cas, perquè sigui procedent l’autorització del director de l’Agència Espanyola de Protecció de Dades és necessari que les normes o regles siguin vinculants per a les empreses del grup i exigibles conforme a l’ordenament jurídic espanyol.
En tot cas, l’autorització del director de l’Agència Espanyola de Protecció de Dades implica l’exigibilitat del que preveuen les normes o regles internes tant per l’Agència com pels afectats les dades dels quals hagin estat objecte de tractament.
TÍTOL VII CODIS TIPUS
Article 71. Objecte i naturalesa
1. Els codis tipus a què es refereix l’article 32 de la Llei orgànica 15/1999, de 13 de desembre, tenen per objecte adequar el que estableixen l’esmentada Llei orgànica i el present Reglament a les peculiaritats dels tractaments efectuats pels qui s’hi adhereixen.
A aquest efecte, han de contenir regles o estàndards específics que permetin harmonitzar els tractaments de dades efectuats pels adherits, facilitar l’exercici dels drets dels afectats i afavorir el compliment del que disposen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
2. Els codis tipus tenen el caràcter de codis deontològics o de bona pràctica professional i són vinculants per als qui s’hi adhereixin. Article 72. Iniciativa i àmbit d’aplicació
1. Els codis tipus tenen caràcter voluntari. 2. Els codis tipus de caràcter sectorial es poden referir a la totalitat o a una part dels
tractaments portats a terme per entitats pertanyents a un mateix sector, i han de ser formulats per organitzacions representatives del sector esmentat, almenys en el seu àmbit territorial d’aplicació, i sense perjudici de la potestat de les entitats esmentades d’ajustar el codi tipus a les seves peculiaritats.
3. Els codis tipus promoguts per una empresa s’han de referir a la totalitat dels tractaments que porta a terme la mateixa empresa.
§2
72
4. Les administracions públiques i les corporacions de dret públic poden adoptar codis tipus d’acord amb el que estableixen les normes que els siguin aplicables. Article 73. Contingut
1. Els codis tipus han d’estar redactats en termes clars i accessibles. 2. Els codis tipus han de respectar la normativa vigent i incloure, com a mínim, amb
grau de precisió suficient: a) La delimitació clara i precisa del seu àmbit d’aplicació, les activitats a què el codi
es refereix i els tractaments que hi estan sotmesos. b) Les previsions específiques per a l’aplicació dels principis de protecció de dades. c) L’establiment d’estàndards homogenis per al compliment per part dels adherits
al codi de les obligacions que estableix la Llei orgànica 15/1999, de 13 de desembre.
d) L’establiment de procediments que facilitin als afectats l’exercici dels seus drets d’accés, rectificació, cancel·lació i oposició.
e) La determinació de les cessions i transferències internacionals de dades que, si s’escau, es prevegin, amb indicació de les garanties que s’hagin d’adoptar.
f) Les accions formatives en matèria de protecció de dades dirigides als qui les tractin, especialment quant a la seva relació amb els afectats.
g) Els mecanismes de supervisió a través dels quals es garanteixi que els adherits compleixen el que estableix el codi tipus, en els termes previstos a l’article 74 d’aquest Reglament.
3. En particular, el codi ha de contenir: a) Clàusules tipus per a l’obtenció del consentiment dels afectats per al tractament
o cessió de les seves dades. b) Clàusules tipus per informar els afectats del tractament, quan les dades no
s’obtinguin dels mateixos afectats. c) Models perquè els afectats exerceixin els seus drets d’accés, rectificació,
cancel·lació i oposició. d) Models de clàusules per al compliment dels requisits formals exigibles per a la
contractació d’un encarregat del tractament, si s’escau. Article 74. Compromisos addicionals
1. Els codis tipus poden incloure qualsevol altre compromís addicional que els adherits assumeixin per a un millor compliment de la legislació vigent en matèria de protecció de dades.
2. A més, poden contenir qualsevol altre compromís que puguin establir les entitats promotores i, en particular, sobre:
a) L’adopció de mesures de seguretat addicionals a les que exigeixen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament.
b) La identificació de les categories de cessionaris o importadors de les dades. c) Les mesures concretes adoptades en matèria de protecció dels menors o de
determinats col·lectius d’afectats. d) L’establiment d’un segell de qualitat que identifiqui els adherits al codi.
§2
73
Article 75. Garanties del compliment dels codis tipus
1. Els codis tipus han d’incloure procediments de supervisió independents per garantir el compliment de les obligacions assumides pels adherits, i establir un règim sancionador adequat, eficaç i dissuasiu.
2. El procediment que es prevegi ha de garantir: a) La independència i imparcialitat de l’òrgan responsable de la supervisió. b) La senzillesa, accessibilitat, celeritat i gratuïtat per a la presentació de queixes i
reclamacions davant l’òrgan esmentat pels eventuals incompliments del codi tipus.
c) El principi de contradicció. d) Una graduació de sancions que permeti ajustar-les a la gravetat de
l’incompliment. Aquestes sancions han de ser dissuasives i poden implicar la suspensió de l’adhesió al codi o l’expulsió de l’entitat adherida. Així mateix, pot establir-se, si s’escau, la seva publicitat.
e) La notificació a l’afectat de la decisió adoptada. 3. Així mateix, i sense perjudici del que disposa l’article 19 de la Llei orgànica
15/1999, de 13 de desembre, els codis tipus poden preveure procediments per tal de determinar mesures reparadores en cas que s’hagi causat un perjudici als afectats com a conseqüència de l’incompliment del codi tipus.
4. El que disposa aquest article s’aplica sense perjudici de les competències de l’Agència Espanyola de Protecció de Dades i, si s’escau, de les autoritats de control de les comunitats autònomes. Article 76. Relació d'adherits
El codi tipus ha d’incorporar com a annex una relació d’adherits, que s’ha de mantenir actualitzada, a disposició de l’Agència Espanyola de Protecció de Dades. Article 77. Dipòsit i publicitat dels codis tipus
1. A fi que els codis tipus puguin ser considerats com a tals a l’efecte del que preveuen l’article 32 de la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament, s’han de dipositar i inscriure en el Registre General de Protecció de Dades de l’Agència Espanyola de Protecció de Dades o, quan correspongui, en el registre que sigui creat per les comunitats autònomes, que els ha de traslladar per a la seva inclusió en el Registre General de Protecció de Dades.
2. A aquest efecte, els codis tipus s’han de presentar davant la corresponent autoritat de control, i se n’ha de tramitar la inscripció, en cas d’estar sotmesos a la decisió de l’Agència Espanyola de Protecció de Dades, de conformitat amb el procediment que estableix el capítol VI del títol IX d’aquest Reglament.
3. En tot cas, l’Agència Espanyola de Protecció de Dades ha de donar publicitat als codis tipus inscrits, preferentment a través de mitjans informàtics o telemàtics. Article 78. Obligacions posteriors a la inscripció del codi tipus
Les entitats promotores o els òrgans, persones o entitats que a aquest efecte es designin en el mateix codi tipus tenen, una vegada hagi estat publicat, les obligacions següents:
§2
74
a) Mantenir accessible al públic la informació actualitzada sobre les entitats promotores, el contingut del codi tipus, els procediments d’adhesió i de garantia del seu compliment i la relació d’adherits a què es refereix l’article anterior. Aquesta informació s’ha de presentar de forma concisa i clara i ha d’estar permanentment accessible per mitjans electrònics.
b) Remetre a l’Agència Espanyola de Protecció de Dades una memòria anual sobre les activitats realitzades per difondre el codi tipus i promoure-hi l’adhesió, les actuacions de verificació del compliment del codi i els seus resultats, les queixes i reclamacions tramitades i el curs que se’ls ha donat, i qualsevol altre aspecte que les entitats promotores considerin adequat destacar. Quan es tracti de codis tipus inscrits en el registre d’una autoritat de control d’una comunitat autònoma, la remissió s’ha de fer a l’esmentada autoritat, que els de traslladar al Registre General de Protecció de Dades.
c) Avaluar periòdicament l’eficàcia del codi tipus mesurant el grau de satisfacció dels afectats i, si s’escau, actualitzar-ne el contingut per adaptar-lo a la normativa general o sectorial de protecció de dades existent en cada moment. Aquesta avaluació ha de tenir lloc almenys cada quatre anys, llevat que sigui necessari adaptar els compromisos del codi a la modificació de la normativa aplicable en un termini més curt.
d) Afavorir l’accessibilitat de totes les persones, amb una especial atenció a les que tinguin alguna discapacitat o edat avançada, a tota la informació disponible sobre el codi tipus.
TÍTOL VIII DE LES MESURES DE SEGURETAT
EN EL TRACTAMENT DE DADES DE CARÀCTER PERSONAL
CAPÍTOL I DISPOSICIONS GENERALS
Article 79. Abast
Els responsables dels tractaments o els fitxers i els encarregats del tractament han d’implantar les mesures de seguretat d’acord amb el que disposa aquest títol, amb independència de quin sigui el seu sistema de tractament. Article 80. Nivells de seguretat
Les mesures de seguretat exigibles als fitxers i tractaments es classifiquen en tres nivells: bàsic, mitjà i alt. Article 81. Aplicació dels nivells de seguretat
1. Tots els fitxers o tractaments de dades de caràcter personal han d’adoptar les mesures de seguretat qualificades de nivell bàsic.
2. S’han d’implantar, a més de les mesures de seguretat de nivell bàsic, les mesures de nivell mitjà, en els següents fitxers o tractaments de dades de caràcter personal:
a) Els relatius a la comissió d’infraccions administratives o penals. b) Aquells el funcionament dels quals es regeixi per l’article 29 de la Llei orgànica
15/1999, de 13 de desembre.
§2
75
c) Aquells els responsables dels quals siguin administracions tributàries i es relacionin amb l’exercici de les seves potestats tributàries.
d) Aquells els responsables dels quals siguin les entitats financeres per a finalitats relacionades amb la prestació de serveis financers.
e) Aquells els responsables dels quals siguin les entitats gestores i serveis comuns de la Seguretat Social i es relacionin amb l’exercici de les seves competències. De la mateixa manera, aquells els responsables dels quals siguin les mútues d’accidents de treball i malalties professionals de la Seguretat Social.
f) Els que continguin un conjunt de dades de caràcter personal que ofereixin una definició de les característiques o de la personalitat dels ciutadans i que permetin avaluar determinats aspectes de la seva personalitat o comportament.
3. A més de les mesures de nivell bàsic i mitjà, les mesures de nivell alt s’han d’aplicar en els següents fitxers o tractaments de dades de caràcter personal:
a) Els que es refereixin a dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual.
b) Els que continguin o es refereixin a dades obtingudes per a fins policials sense consentiment de les persones afectades.
c) Els que continguin dades derivades d’actes de violència de gènere. 4. Als fitxers els responsables dels quals siguin els operadors que prestin serveis de
comunicacions electròniques disponibles al públic o explotin xarxes públiques de comunicacions electròniques respecte a les dades de tràfic i a les dades de localització, s’hi han d’aplicar, a més de les mesures de seguretat de nivell bàsic i mitjà, la mesura de seguretat de nivell alt que conté l’article 103 d’aquest Reglament.
5. En el cas de fitxers o tractaments de dades d’ideologia, afiliació sindical, religió, creences, origen racial, salut o vida sexual només s’han d’implantar les mesures de seguretat de nivell bàsic quan:
a) Les dades s’utilitzin amb l’única finalitat de realitzar una transferència dinerària a les entitats de què els afectats siguin associats o membres.
b) Es tracta de fitxers o tractaments que de forma incidental o accessòria continguin aquelles dades sense tenir relació amb la seva finalitat.56
6. També es poden implantar les mesures de seguretat de nivell bàsic en els fitxers o tractaments que continguin dades relatives a la salut, referents exclusivament al grau de discapacitat o la simple declaració de la condició de discapacitat o invalidesa de l’afectat, amb motiu del compliment de deures públics.
7. Les mesures incloses en cadascun dels nivells descrits anteriorment tenen la condició de mínims exigibles, sense perjudici de les disposicions legals o reglamentàries específiques vigents que puguin ser aplicables en cada cas o les que per pròpia iniciativa adopti el responsable del fitxer.
8. Als efectes de facilitar el compliment del que disposa aquest títol, quan en un sistema d’informació hi hagi fitxers o tractaments que, en funció de la seva finalitat o ús concret, o de la naturalesa de les dades que continguin, requereixin l’aplicació d’un nivell de mesures de seguretat diferent que el del sistema principal, es poden segregar d’aquest últim, i és aplicable en cada cas el nivell de mesures de seguretat corresponent i sempre que es puguin delimitar les dades afectades i els usuaris que hi tinguin accés, i que això es faci constar en el document de seguretat.
56 Lletra modificada pel RD 3/2010, de 8 de gener, esmentat en la nota 49.
§2
76
Article 82. Encarregat del tractament
1. Quan el responsable del fitxer o tractament faciliti l’accés a les dades, als suports que les contenen o als recursos del sistema d’informació que les tracta, a un encarregat de tractament que presti els seus serveis en els locals del primer, s’ha de fer constar aquesta circumstància en el document de seguretat del dit responsable, i el personal de l’encarregat s’ha de comprometre al compliment de les mesures de seguretat previstes en l’esmentat document.
Quan aquest accés sigui remot i s’hagi prohibit a l’encarregat incorporar aquestes dades a sistemes o suports diferents dels del responsable, aquest últim ha de fer constar aquesta circumstància en el document de seguretat del responsable, i el personal de l’encarregat s’ha de comprometre al compliment de les mesures de seguretat previstes en l’esmentat document.
2. Si el servei el presta l’encarregat del tractament en els seus propis locals, aliens als del responsable del fitxer, ha d’elaborar un document de seguretat en els termes que exigeix l’article 88 d’aquest Reglament o completar el que ja hagi elaborat, si s’escau, identificant el fitxer o tractament i el seu responsable i incorporant les mesures de seguretat a implantar en relació amb el tractament esmentat.
3. En tot cas, l’accés a les dades per part de l’encarregat del tractament està sotmès a les mesures de seguretat que preveu aquest Reglament. Article 83. Prestacions de serveis sense accés a dades personals
El responsable del fitxer o tractament ha d’adoptar les mesures adequades per limitar l’accés del personal a dades personals, als suports que les continguin o als recursos del sistema d’informació, per a la realització de treballs que no impliquin el tractament de dades personals.
Quan es tracti de personal aliè, el contracte de prestació de serveis ha de recollir expressament la prohibició d’accedir a les dades personals i l’obligació de secret respecte a les dades que el personal hagi pogut conèixer amb motiu de la prestació del servei. Article 84. Delegació d’autoritzacions
Les autoritzacions que en aquest títol s’atribueixen al responsable del fitxer o tractament poden ser delegades en les persones designades a aquest efecte. En el document de seguretat hi han de constar les persones habilitades per atorgar aquestes autoritzacions, així com aquelles en les quals recau la delegació esmentada. En cap cas aquesta designació suposa una delegació de la responsabilitat que correspon al responsable del fitxer. Article 85. Accés a dades a través de xarxes de comunicacions
Les mesures de seguretat exigibles als accessos a dades de caràcter personal a través de xarxes de comunicacions, siguin públiques o no, han de garantir un nivell de seguretat equivalent al corresponent als accessos en mode local, conforme als criteris que estableix l’article 80.
§2
77
Article 86. Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament
1. Quan les dades personals s’emmagatzemin en dispositius portàtils o es tractin fora dels locals del responsable de fitxer o tractament, o de l’encarregat del tractament, és necessari que hi hagi una autorització prèvia del responsable del fitxer o tractament, i en tot cas s’ha de garantir el nivell de seguretat corresponent al tipus de fitxer tractat.
2. L’autorització a què es refereix el paràgraf anterior ha de constar en el document de seguretat i es pot establir per a un usuari o per a un perfil d’usuaris i se n’ha de determinar un període de validesa. Article 87. Fitxers temporals o còpies de treball de documents
1. Els fitxers temporals o còpies de documents que s’han creat exclusivament per a la realització de treballs temporals o auxiliars han de complir el nivell de seguretat que els correspongui conforme als criteris establerts a l’article 81.
2. Qualsevol fitxer temporal o còpia de treball creat així s’ha d’esborrar o destruir una vegada deixi de ser necessari per als fins que van motivar la seva creació.
CAPÍTOL II DEL DOCUMENT DE SEGURETAT
Article 88. El document de seguretat 1. El responsable del fitxer o tractament ha d’elaborar un document de seguretat
que reculli les mesures d’índole tècnica i organitzativa conformes amb la normativa de seguretat vigent que és de compliment obligat per al personal amb accés als sistemes d’informació.
2. El document de seguretat pot ser únic i ha d’incloure tots els fitxers o tractaments, o bé individualitzat per a cada fitxer o tractament. També es poden elaborar diferents documents de seguretat agrupant fitxers o tractaments segons el sistema de tractament utilitzat per a la seva organització, o bé atenent criteris organitzatius del responsable. En tot cas té el caràcter de document intern de l’organització.
3. El document ha de contenir, com a mínim, els aspectes següents: a) Àmbit d’aplicació del document amb especificació detallada dels recursos
protegits. b) Mesures, normes, procediments d’actuació, regles i estàndards encaminats a
garantir el nivell de seguretat exigit en aquest Reglament. c) Funcions i obligacions del personal en relació amb el tractament de les dades de
caràcter personal incloses en els fitxers. d) Estructura dels fitxers amb dades de caràcter personal i descripció dels sistemes
d’informació que els tracten. e) Procediment de notificació, gestió i resposta davant les incidències. f) Els procediments de realització de còpies de seguretat i de recuperació de les
dades en els fitxers o tractaments automatitzats.
§2
78
g) Les mesures que sigui necessari adoptar per al transport de suports i documents, així com per a la destrucció dels documents i suports o, si s’escau, la reutilització d’aquests últims.
4. En cas que siguin aplicables als fitxers les mesures de seguretat de nivell mitjà o les mesures de seguretat de nivell alt, previstes en aquest títol, el document de seguretat ha de contenir a més:
a) La identificació del responsable o responsables de seguretat. b) Els controls periòdics que s’han de realitzar per verificar el compliment del que
disposa el document. 5. Quan hi hagi un tractament de dades per compte de tercers, el document de
seguretat ha de contenir la identificació dels fitxers o tractaments que es tractin en concepte d’encarregat amb referència expressa al contracte o document que reguli les condicions de l’encàrrec, així com la identificació del responsable i del període de vigència de l’encàrrec.
6. En els casos en què dades personals d’un fitxer o tractament s’incorporin i es tractin de manera exclusiva en els sistemes de l’encarregat, el responsable ho ha d’anotar en el seu document de seguretat. Quan aquesta circumstància afecti una part o la totalitat dels fitxers o tractaments del responsable, es pot delegar en l’encarregat l’administració del document de seguretat, excepte pel que fa a les dades incloses en recursos propis. Aquest fet s’ha d’indicar de manera expressa en el contracte subscrit a l’empara de l’article 12 de la Llei orgànica 15/1999, de 13 de desembre, amb especificació dels fitxers o tractaments afectats.
En aquest cas, cal atenir-se al document de seguretat de l’encarregat a l’efecte del compliment del que disposa aquest Reglament.
7. El document de seguretat s’ha de mantenir actualitzat en tot moment i s’ha de revisar sempre que es produeixin canvis rellevants en el sistema d’informació, en el sistema de tractament que es fa servir, en la seva organització, en el contingut de la informació inclosa en els fitxers o tractaments o, si s’escau, com a conseqüència dels controls periòdics realitzats. En tot cas, s’entén que un canvi és rellevant quan pot repercutir en el compliment de les mesures de seguretat implantades.
8. El contingut del document de seguretat sempre s’ha d’adequar a les disposicions vigents en matèria de seguretat de les dades de caràcter personal.
CAPÍTOL III MESURES DE SEGURETAT APLICABLES
A FITXERS I TRACTAMENTS AUTOMATITZATS
SECCIÓ 1a MESURES DE SEGURETAT DE NIVELL BÀSIC
Article 89. Funcions i obligacions del personal 1. Les funcions i obligacions de cadascun dels usuaris o perfils d’usuaris amb accés a
les dades de caràcter personal i als sistemes d’informació han d’estar clarament definides i documentades en el document de seguretat.
També s’han de definir les funcions de control o autoritzacions delegades pel responsable del fitxer o tractament.
§2
79
2. El responsable del fitxer o tractament ha d’adoptar les mesures necessàries perquè el personal conegui d’una forma comprensible les normes de seguretat que afectin l’exercici de les seves funcions així com les conseqüències en què pugui incórrer en cas d’incompliment. Article 90. Registre d’incidències
Hi ha d’haver un procediment de notificació i gestió de les incidències que afectin les dades de caràcter personal i s’ha d’establir un registre en què es faci constar el tipus d’incidència, el moment en què s’ha produït, o si s’escau, detectat, la persona que fa la notificació, a qui se li comunica, els efectes que se’n deriven i les mesures correctores aplicades. Article 91. Control d’accés
1. Els usuaris han de tenir accés només als recursos que necessitin per a l’exercici de les seves funcions.
2. El responsable del fitxer s’ha d’encarregar que hi hagi una relació actualitzada d’usuaris i perfils d’usuaris, i els accessos autoritzats per a cadascun d’ells.
3. El responsable del fitxer ha d’establir mecanismes per evitar que un usuari pugui accedir a recursos amb drets diferents dels autoritzats.
4. Exclusivament el personal autoritzat per fer-ho en el document de seguretat pot concedir, alterar o anul·lar l’accés autoritzat sobre els recursos, de conformitat amb els criteris que estableix el responsable del fitxer.
5. En cas que hi hagi personal aliè al responsable del fitxer que tingui accés als recursos, ha d’estar sotmès a les mateixes condicions i obligacions de seguretat que el personal propi. Article 92. Gestió de suports i documents
1. Els suports i documents que continguin dades de caràcter personal han de permetre identificar el tipus d’informació que contenen, han de ser inventariats i només hi ha de poder accedir el personal autoritzat per fer-ho en el document de seguretat.
S’exceptuen aquestes obligacions quan les característiques físiques del suport impossibilitin el seu compliment, i n’ha de quedar constància motivada en el document de seguretat.
2. La sortida de suports i documents que continguin dades de caràcter personal, inclosos els compresos i/o annexos a un correu electrònic, fora dels locals sota el control del responsable del fitxer o tractament, l’ha d’autoritzar el responsable del fitxer o ha d’estar degudament autoritzada en el document de seguretat.
3. En el trasllat de la documentació s’han d’adoptar les mesures dirigides a evitar la sostracció o pèrdua de la informació o l’accés indegut a aquesta durant el seu transport.
4. Sempre que s’hagi de rebutjar qualsevol document o suport que contingui dades de caràcter personal, s’ha de destruir o esborrar mitjançant l’adopció de mesures dirigides a evitar l’accés a la informació que conté o la seva recuperació posterior.
5. La identificació dels suports que continguin dades de caràcter personal que l’organització consideri especialment sensibles es pot realitzar utilitzant sistemes d’etiquetatge comprensibles i amb significat que permetin als usuaris amb accés
§2
80
autoritzat als suports i documents esmentats identificar el seu contingut, i que en dificultin la identificació per a la resta de persones. Article 93. Identificació i autenticació
1. El responsable del fitxer o tractament ha d’adoptar les mesures que garanteixin la correcta identificació i autenticació dels usuaris.
2. El responsable del fitxer o tractament ha d’establir un mecanisme que permeti la identificació de forma inequívoca i personalitzada de qualsevol usuari que intenti accedir al sistema d’informació i la verificació conforme està autoritzat.
3. Quan el mecanisme d’autenticació es basi en l’existència de contrasenyes, hi ha d’haver un procediment d’assignació, distribució i emmagatzematge que en garanteixi la confidencialitat i integritat.
4. El document de seguretat ha d’establir la periodicitat, que en cap cas ha de ser superior a un any, amb què s’han de canviar les contrasenyes que, mentre estiguin vigents, s’han d’emmagatzemar de forma inintel·ligible. Article 94. Còpies de seguretat i recuperació
1. S’han d’establir procediments d’actuació per fer, com a mínim setmanalment, còpies de seguretat, tret que en el període esmentat no s’hagi produït cap actualització de les dades.
2. Així mateix, s’han d’establir procediments per a la recuperació de les dades que garanteixin en tot moment la reconstrucció a l’estat en què estaven en el moment de produir-se la pèrdua o destrucció.
Únicament en cas que la pèrdua o destrucció afecti fitxers o tractaments parcialment automatitzats, i sempre que l’existència de documentació permeti assolir l’objectiu a què es refereix el paràgraf anterior, s’han de gravar manualment les dades de manera que quedi constància motivada d’aquest fet en el document de seguretat.
3. El responsable del fitxer s’ha d’encarregar de verificar cada sis mesos la correcta definició, funcionament i aplicació dels procediments de realització de còpies de seguretat i de recuperació de les dades.
4. Les proves anteriors a la implantació o modificació dels sistemes d’informació que tractin fitxers amb dades de caràcter personal no s’han de fer amb dades reals, llevat que s’asseguri el nivell de seguretat corresponent al tractament realitzat i s’anoti la seva realització en el document de seguretat.
Si està previst realitzar proves amb dades reals, prèviament s’ha d’haver realitzat una còpia de seguretat.
SECCIÓ 2a
MESURES DE SEGURETAT DE NIVELL MITJÀ
Article 95. Responsable de seguretat
En el document de seguretat s’han d’assignar un o diversos responsables de seguretat encarregats de coordinar i controlar les mesures que hi estan definides. Aquesta designació pot ser única per a tots els fitxers o tractaments de dades de caràcter personal o diferenciada segons els sistemes de tractament utilitzats, circumstància que s’ha de fer constar clarament en el document de seguretat.
§2
81
En cap cas aquesta designació suposa una exoneració de la responsabilitat que correspon al responsable del fitxer o a l’encarregat del tractament d’acord amb aquest Reglament. Article 96. Auditoria
1. A partir del nivell mitjà, els sistemes d’informació i instal·lacions de tractament i emmagatzematge de dades s’han de sotmetre, almenys cada dos anys, a una auditoria interna o externa que verifiqui el compliment del present títol.
Amb caràcter extraordinari, s’ha de realitzar l’auditoria esmentada sempre que es facin modificacions substancials en el sistema d’informació que puguin repercutir en el compliment de les mesures de seguretat implantades, amb l’objecte de verificar-ne l’adaptació, adequació i eficàcia. Aquesta auditoria inicia el còmput de dos anys assenyalat en el paràgraf anterior.
2. L’informe d’auditoria ha de dictaminar sobre l’adequació de les mesures i controls a la Llei i el seu desplegament reglamentari, identificar les seves deficiències i proposar les mesures correctores o complementàries necessàries. També ha d’incloure les dades, fets i observacions en què es basin els dictàmens assolits i les recomanacions proposades.
3. Els informes d’auditoria els ha d’analitzar el responsable de seguretat competent, que n’ha d’elevar les conclusions al responsable del fitxer o tractament perquè adopti les mesures correctores adequades, i han de quedar a disposició de l’Agència Espanyola de Protecció de Dades o, si s’escau, de les autoritats de control de les comunitats autònomes. Article 97. Gestió de suports i documents
1. S’ha d’establir un sistema de registre d’entrada de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la data i hora, l’emissor, el nombre de documents o suports inclosos en l’enviament, el tipus d’informació que contenen, la forma d’enviament i la persona responsable de la recepció, que ha d’estar degudament autoritzada.
2. Igualment s’ha de disposar d’un sistema de registre de sortida de suports que permeti, directament o indirectament, conèixer el tipus de document o suport, la data i hora, el destinatari, el nombre de documents o suports inclosos en l’enviament, el tipus d’informació que contenen, la forma d’enviament i la persona responsable del lliurament, que ha d’estar degudament autoritzada. Article 98. Identificació i autenticació
El responsable del fitxer o tractament ha d’establir un mecanisme que limiti la possibilitat d’intentar reiteradament l’accés no autoritzat al sistema d’informació. Article 99. Control d’accés físic
Exclusivament el personal autoritzat en el document de seguretat pot tenir accés als llocs on estiguin instal·lats els equips físics que donin suport als sistemes d’informació. Article 100. Registre d’incidències
1. En el registre que regula l’article 90 s’hi han de consignar, a més, els procediments de recuperació de les dades realitzats, i s’hi han d’indicar la persona que
§2
82
va executar el procés, les dades restaurades i, si s’escau, quines dades ha estat necessari gravar manualment en el procés de recuperació.
2. És necessària l’autorització del responsable del fitxer per a l’execució dels procediments de recuperació de les dades.
SECCIÓ 3a
MESURES DE SEGURETAT DE NIVELL ALT
Article 101. Gestió i distribució de suports
1. La identificació dels suports s’ha de realitzar utilitzant sistemes d’etiquetatge comprensibles i amb significat, que permetin als usuaris amb accés autoritzat als suports i documents esmentats identificar el seu contingut, i que dificultin la identificació per a la resta de persones.
2. La distribució dels suports que continguin dades de caràcter personal s’ha de fer xifrant les dades esmentades o bé utilitzant un altre mecanisme que garanteixi que la dita informació no sigui accessible o manipulada durant el seu transport.
Així mateix, s’han de xifrar les dades que continguin els dispositius portàtils quan aquests dispositius estiguin fora de les instal·lacions que estan sota el control del responsable del fitxer.
3. S’ha d’evitar el tractament de dades de caràcter personal en dispositius portàtils que no permetin el xifratge. En cas que sigui estrictament necessari, s’ha de fer constar motivadament en el document de seguretat i s’han d’adoptar mesures que tinguin en compte els riscos de realitzar tractaments en entorns desprotegits. Article 102. Còpies de seguretat i recuperació
S’ha de conservar una còpia de seguretat de les dades i dels procediments de recuperació d’aquestes dades en un lloc diferent d’aquell en què estiguin els equips informàtics que els tracten, que ha de complir en tot cas les mesures de seguretat exigides en aquest títol, o utilitzant elements que garanteixin la integritat i recuperació de la informació, de forma que sigui possible la seva recuperació. Article 103. Registre d’accessos
1. De cada intent d’accés s’han de guardar, com a mínim, la identificació de l’usuari, la data i hora en què es va realitzar, el fitxer a què s’ha accedit, el tipus d’accés i si ha estat autoritzat o denegat.
2. En cas que l’accés hagi estat autoritzat, és necessari guardar la informació que permeti identificar el registre a què s’ha accedit.
3. Els mecanismes que permeten el registre d’accessos han d’estar sota el control directe del responsable de seguretat competent sense que permetin la seva desactivació ni manipulació.
4. El període mínim de conservació de les dades registrades és de dos anys. 5. El responsable de seguretat s’ha d’encarregar de revisar almenys una vegada al
mes la informació de control registrada i ha d’elaborar un informe de les revisions realitzades i els problemes detectats.
6. No és necessari el registre d’accessos definit en aquest article en cas que es donin les circumstàncies següents:
a) Que el responsable del fitxer o del tractament sigui una persona física.
§2
83
b) Que el responsable del fitxer o del tractament garanteixi que únicament ell té accés a les dades personals i les tracta.
La concurrència de les dues circumstàncies a què es refereix l’apartat anterior s’ha de fer constar expressament en el document de seguretat. Article 104. Telecomunicacions
Quan conforme a l’article 81.3 s’hagin d’implantar les mesures de seguretat de nivell alt, la transmissió de dades de caràcter personal a través de xarxes públiques o xarxes sense fil de comunicacions electròniques s’ha de fer xifrant les dades esmentades o bé utilitzant qualsevol altre mecanisme que garanteixi que la informació no sigui intel·ligible ni manipulada per tercers.
CAPÍTOL IV MESURES DE SEGURETAT APLICABLES
ALS FITXERS I TRACTAMENTS NO AUTOMATITZATS
SECCIÓ 1a MESURES DE SEGURETAT DE NIVELL BÀSIC
Article 105. Obligacions comunes
1. A més del que disposa el present capítol, als fitxers no automatitzats els és aplicable el que disposen els capítols I i II del present títol pel que fa a:
a) Abast. b) Nivells de seguretat. c) Encarregat del tractament. d) Prestacions de serveis sense accés a dades personals. e) Delegació d’autoritzacions. f) Règim de treball fora dels locals del responsable del fitxer o encarregat del
tractament. g) Còpies de treball de documents. h) Document de seguretat. 2. Així mateix se’ls ha d’aplicar el que estableix la secció primera del capítol III del
present títol pel que fa a: a) Funcions i obligacions del personal. b) Registre d’incidències. c) Control d’accés. d) Gestió de suports.
Article 106. Criteris d’arxivament
L’arxivament dels suports o documents s’ha de fer d’acord amb els criteris que preveu la seva respectiva legislació. Aquests criteris han de garantir la correcta conservació dels documents, la localització i consulta de la informació i han de possibilitar l’exercici dels drets d’oposició al tractament, accés, rectificació i cancel·lació.
En els casos en què no hi hagi cap norma aplicable, el responsable del fitxer ha d’establir els criteris i procediments d’actuació que s’hagin de seguir per a l’arxivament.
§2
84
Article 107. Dispositius d’emmagatzematge
Els dispositius d’emmagatzematge dels documents que continguin dades de caràcter personal han de disposar de mecanismes que n’obstaculitzin l’obertura. Quan les característiques físiques d’aquests no permetin adoptar aquesta mesura, el responsable del fitxer o tractament ha d’adoptar mesures que impedeixin que hi puguin accedir persones no autoritzades. Article 108. Custòdia dels suports
Mentre la documentació amb dades de caràcter personal no estigui arxivada en els dispositius d’emmagatzematge que estableix l’article anterior, pel fet d’estar en procés de revisió o tramitació, ja sigui prèviament o posteriorment al seu arxivament, la persona que se n’encarregui l’ha de custodiar i impedir en tot moment que hi pugui accedir una persona no autoritzada.
SECCIÓ 2a
MESURES DE SEGURETAT DE NIVELL MITJÀ
Article 109. Responsable de seguretat
S’han de designar un o diversos responsables de seguretat en els termes i amb les funcions que preveu l’article 95 d’aquest Reglament. Article 110. Auditoria
Els fitxers inclosos en la present secció s’han de sotmetre, almenys cada dos anys, a una auditoria interna o externa que verifiqui el compliment del present títol.
SECCIÓ 3a
MESURES DE SEGURETAT DE NIVELL ALT
Article 111. Emmagatzematge de la informació
1. Els armaris, arxivadors o altres elements en què s’emmagatzemin els fitxers no automatitzats amb dades de caràcter personal han d’estar en àrees en què l’accés estigui protegit amb portes d’accés dotades de sistemes d’obertura mitjançant una clau o un altre dispositiu equivalent. Aquestes àrees s’han de mantenir tancades quan no sigui necessari l’accés als documents inclosos en el fitxer.
2. Si, ateses les característiques dels locals de què disposa el responsable del fitxer o tractament, no és possible complir el que estableix l’apartat anterior, el responsable ha d’adoptar mesures alternatives que, degudament motivades, s’han d’incloure en el document de seguretat. Article 112. Còpia o reproducció
1. La generació de còpies o la reproducció dels documents únicament pot ser realitzada sota el control del personal autoritzat en el document de seguretat.
2. S’ha de procedir a la destrucció de les còpies o reproduccions rebutjades de manera que s’eviti l’accés a la informació que contenen o la seva recuperació posterior.
§2
85
Article 113. Accés a la documentació
1. L’accés a la documentació s’ha de limitar exclusivament al personal autoritzat. 2. S’han d’establir mecanismes que permetin identificar els accessos realitzats en el
cas de documents que puguin ser utilitzats per múltiples usuaris. 3. L’accés de persones no incloses en el paràgraf anterior ha de quedar
adequadament registrat d’acord amb el procediment establert a aquest efecte en el document de seguretat. Article 114. Trasllat de documentació
Sempre que es procedeixi al trasllat físic de la documentació que conté un fitxer, s’han d’adoptar mesures dirigides a impedir l’accés a la informació objecte de trasllat o la seva manipulació.
TÍTOL IX PROCEDIMENTS TRAMITATS
PER L’AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES
CAPÍTOL I DISPOSICIONS GENERALS
Article 115. Règim aplicable
1. Els procediments tramitats per l’Agència Espanyola de Protecció de Dades es regeixen pel que disposa el present títol, i supletòriament per la Llei 30/1992, de 26 de novembre, de règim jurídic de les administracions públiques i del procediment administratiu comú.
2. Específicament són aplicables les normes reguladores del procediment administratiu comú al règim de representació en els procediments esmentats. Article 116. Publicitat de les resolucions
1. L’Agència Espanyola de Protecció de Dades ha de fer públiques les seves resolucions, amb excepció de les corresponents a la inscripció d’un fitxer o tractament en el Registre General de Protecció de Dades i d’aquelles per les quals es resolgui inscriure-hi els codis tipus, sempre que es refereixin a procediments que s’han iniciat amb posterioritat a l’1 de gener de 2004, o corresponguin a l’arxivament d’actuacions inspectores incoades a partir de la data esmentada.
2. La publicació d’aquestes resolucions s’ha de fer preferentment mitjançant la seva inserció en el lloc web de l’Agència Espanyola de Protecció de Dades, dins el termini d’un mes a comptar de la data de la notificació als interessats.
3. En la notificació de les resolucions s’ha d’informar expressament els interessats de la publicitat prevista a l’article 37.2 de la Llei orgànica 15/1999, de 13 de desembre.
4. La publicació s’ha de fer aplicant els criteris de dissociació de les dades de caràcter personal que a aquest efecte s’estableixin mitjançant resolució del director de l’Agència.
§2
86
CAPÍTOL II PROCEDIMENT DE TUTELA DELS DRETS
D’ACCÉS, RECTIFICACIÓ, CANCEL·LACIÓ I OPOSICIÓ
Article 117. Instrucció del procediment
1. El procediment s’inicia a instància de l’afectat o afectats, i ha d’expressar amb claredat el contingut de la seva reclamació i dels preceptes de la Llei orgànica 15/1999, de 13 de desembre, que es consideren vulnerats.
2. Un cop rebuda la reclamació a l’Agència Espanyola de Protecció de Dades, s’ha de traslladar al responsable del fitxer, perquè, en el termini de quinze dies, formuli les al·legacions que estimi pertinents.
3. Un cop rebudes les al·legacions o transcorregut el termini que preveu l’apartat anterior, l’Agència Espanyola de Protecció de Dades, amb els informes previs, proves i altres actes d’instrucció pertinents, inclosa l’audiència de l’afectat i novament del responsable del fitxer, ha de resoldre sobre la reclamació formulada. Article 118. Durada del procediment i efectes de la falta de resolució expressa
1. El termini màxim per dictar i notificar resolució en el procediment de tutela de drets és de sis mesos a comptar de la data d’entrada a l’Agència Espanyola de Protecció de Dades de la reclamació de l’afectat o afectats.
2. Si en aquest termini no s’ha dictat i notificat resolució expressa, l’afectat pot considerar estimada la seva reclamació per silenci administratiu positiu. Article 119. Execució de la resolució
Si la resolució de tutela és estimatòria, s’ha de requerir el responsable del fitxer perquè, en el termini de deu dies següents a la notificació, faci efectiu l’exercici dels drets objecte de la tutela, i ha de donar compte per escrit del compliment esmentat a l’Agència Espanyola de Protecció de Dades en un termini idèntic.
CAPÍTOL III PROCEDIMENTS RELATIUS A L’EXERCICI
DE LA POTESTAT SANCIONADORA57
SECCIÓ 1a DISPOSICIONS GENERALS
Article 120. Àmbit d’aplicació
1. Les disposicions que conté el present capítol són aplicables als procediments relatius a l’exercici de l’Agència Espanyola de Protecció de Dades de la potestat sancionadora que li atribueixen la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, la Llei 34/2002, d’11 de juliol, de serveis de la societat de la informació i de comerç electrònic, i la Llei 32/2003, de 3 de novembre, general de telecomunicacions.
57
Vid. DF única d’aquest Reglament.
§2
87
2. No obstant això, les disposicions que preveuen l’article 121 i la secció quarta d’aquest capítol només són aplicables als procediments referits a l’exercici de la potestat sancionadora que preveu la Llei orgànica 15/1999, de 13 de desembre. Article 121. Immobilització de fitxers
1. En el supòsit previst com a infracció molt greu en la Llei orgànica 15/1999, de 13 de desembre, consistent en la utilització o cessió il·lícita de les dades de caràcter personal en què s’impedeixi greument l’exercici dels drets dels ciutadans i el lliure desenvolupament de la personalitat que la Constitució i les lleis garanteixen o s’hi atempti en contra de la mateixa manera, el director de l’Agència Espanyola de Protecció de Dades pot requerir, en qualsevol moment del procediment, els responsables de fitxers o tractaments de dades de caràcter personal, tant de titularitat pública com privada, perquè cessin en la utilització o cessió il·lícita de les dades.
2. El requeriment ha de ser atès en el termini improrrogable de tres dies, durant el qual el responsable del fitxer pot formular les al·legacions que consideri convenients amb vista a l’aixecament de la mesura.
3. Si el requeriment és desatès, el director de l’Agència Espanyola de Protecció de Dades pot acordar, mitjançant una resolució motivada, la immobilització dels dits fitxers o tractaments, als únics efectes de restaurar els drets de les persones afectades.
SECCIÓ 2a
ACTUACIONS PRÈVIES
Article 122. Iniciació 1. Amb anterioritat a la iniciació del procediment sancionador, es poden realitzar
actuacions prèvies amb l’objecte de determinar si es donen circumstàncies que justifiquin aquesta iniciació. En especial, aquestes actuacions s’han d’orientar a determinar, amb tanta precisió com sigui possible, els fets que puguin justificar la incoació del procediment, identificar la persona o òrgan que en pugui ser responsable i fixar les circumstàncies rellevants que es puguin donar en el cas.
2. Les actuacions prèvies les ha de portar a terme d’ofici l’Agència Espanyola de Protecció de Dades, o bé per iniciativa pròpia o com a conseqüència de l’existència d’una denúncia o una petició raonada d’un altre òrgan.
3. Quan les actuacions es portin a terme com a conseqüència de l’existència d’una denúncia o d’una petició raonada d’un altre òrgan, l’Agència Espanyola de Protecció de Dades ha d’acusar recepció de la denúncia o petició, i pot sol·licitar tota la documentació que estimi oportuna per poder comprovar els fets susceptibles de motivar la incoació del procediment sancionador.
4. Aquestes actuacions prèvies han de tenir una durada màxima de dotze mesos a comptar de la data en què la denúncia o petició raonada a què es refereix l’apartat 2 hagin tingut entrada a l’Agència Espanyola de Protecció de Dades o, en cas que no n’hi hagi, des que el director de l’Agència acordi la realització de les actuacions esmentades.
El venciment del termini sense que s’hagi dictat i notificat un acord d’inici de procediment sancionador produeix la caducitat de les actuacions prèvies.
§2
88
Article 123. Personal competent per a la realització de les actuacions prèvies
1. Les actuacions prèvies les ha de portar a terme el personal de l’Àrea de la Inspecció de Dades habilitat per a l’exercici de funcions inspectores.
2. (Anul·lat)58 3. Els funcionaris que exerceixin la inspecció a què es refereixen els dos apartats
anteriors tenen la consideració d’autoritat pública en l’exercici de les seves comeses. Estan obligats a guardar secret sobre les informacions que coneguin en l’exercici de
les funcions esmentades, fins i tot després d’haver cessat en aquestes funcions. Article 124. Obtenció d’informació
Els inspectors poden sol·licitar totes les informacions que necessitin per al compliment de les seves comeses. Amb aquesta finalitat poden requerir l’exhibició o l’enviament dels documents i dades i examinar-los en el lloc on estiguin dipositats, obtenir-ne una còpia, inspeccionar els equips físics i lògics, així com requerir l’execució de tractaments i programes o procediments de gestió i suport del fitxer o fitxers subjectes a investigació, i accedir als llocs on estiguin instal·lats. Article 125. Actuacions presencials
1. En l’exercici de les actuacions prèvies els inspectors designats poden realitzar visites d’inspecció en els locals o seu de l’inspeccionat, o on estiguin ubicats els fitxers, si s’escau. A aquest efecte, el director de l’Agència Espanyola de Protecció de Dades ha d’haver autoritzar prèviament els inspectors.
Les inspeccions es poden realitzar en el domicili de l’inspeccionat, a la seu o local concret relacionat amb aquest o en qualsevol dels seus locals, inclosos aquells en què el tractament el porti a terme un encarregat.
L’autorització s’ha de limitar a indicar l’habilitació de l’inspector autoritzat i la identificació de la persona o òrgan inspeccionat.
2. En el supòsit que preveu l’apartat anterior, les inspeccions han de concloure amb l’aixecament de l’acta corresponent, en la qual ha de quedar constància de les actuacions practicades durant la visita o visites d’inspecció.
3. L’acta, que s’ha d’emetre per duplicat, l’han de signar els inspectors actuants i l’inspeccionat, que hi pot fer constar les al·legacions o manifestacions que consideri convenients.
En cas de negativa de l’inspeccionat a la signatura de l’acta, s’hi ha de fer constar expressament aquesta circumstància. En tot cas, la signatura de l’inspeccionat de l’acta no suposa la seva conformitat, sinó tan sols la seva recepció.
S’ha de lliurar a l’inspeccionat un dels originals de l’acta d’inspecció, i l’altre s’ha d’incorporar a les actuacions. Article 126. Resultat de les actuacions prèvies
1. Un cop finalitzades les actuacions prèvies, s’han de sotmetre a la decisió del director de l’Agència Espanyola de Protecció de Dades.
58
Apartat declarat nul per la STS de 15 de juliol de 2010, esmentada en la nota 49.
§2
89
Si de les actuacions no deriven fets susceptibles de motivar la imputació de cap infracció, el director de l’Agència Espanyola de Protecció de Dades ha de dictar resolució d’arxivament, que s’ha de notificar a l’investigat i al denunciant, si s’escau.
2. En cas d’apreciar-se l’existència d’indicis susceptibles de motivar la imputació d’una infracció, el director de l’Agència Espanyola de Protecció de Dades ha de dictar acord d’inici de procediment sancionador o d’infracció de les administracions públiques, que s’ha de tramitar conforme al que disposen, respectivament, les seccions tercera i quarta del present capítol.
SECCIÓ 3a
PROCEDIMENT SANCIONADOR
Article 127. Iniciació del procediment Amb caràcter específic, l’acord d’inici del procediment sancionador ha de contenir: a) Identificació de la persona o persones presumptament responsables. b) Descripció succinta dels fets imputats, la seva possible qualificació i les sancions
que puguin correspondre, sense perjudici del que resulti de la instrucció. c) Indicació que l’òrgan competent per resoldre sobre el procediment és el director
de l’Agència Espanyola de Protecció de Dades. d) Indicació al presumpte responsable que pot reconèixer voluntàriament la seva
responsabilitat, cas en què s’ha de dictar resolució directament. e) Designació d’instructor i, si s’escau, secretari, amb indicació expressa del règim
de recusació de tots dos. f) Indicació expressa del dret del responsable a formular al·legacions, a l’audiència
en el procediment i a proposar les proves que estimi procedents. g) Mesures de caràcter provisional que es puguin acordar, si s’escau, conforme al
que estableix la secció primera del present capítol. Article 128. Termini màxim per dictar resolució
1. El termini per dictar resolució és el que determinin les normes aplicables a cada procediment sancionador i es computa des de la data en què es dicti l’acord d’inici fins que es produeixi la notificació de la resolució sancionadora, o s’acrediti degudament l’intent de notificació.
2. El venciment de l’esmentat termini màxim, sense que s’hagi dictat i notificat resolució expressa, produeix la caducitat del procediment i l’arxivament de les actuacions.
SECCIÓ 4a
PROCEDIMENT DE DECLARACIÓ D’INFRACCIÓ DE LA LLEI ORGÀNICA 15/1999, DE 13 DE DESEMBRE, PER LES ADMINISTRACIONS PÚBLIQUES
Article 129. Disposició general
El procediment pel qual es declari l’existència d’una infracció de la Llei orgànica 15/1999, de 13 de desembre, comesa per les administracions públiques, és el que estableix la secció tercera d’aquest capítol.
§2
90
CAPÍTOL IV PROCEDIMENTS RELACIONATS
AMB LA INSCRIPCIÓ O CANCEL·LACIÓ DE FITXERS
SECCIÓ 1a PROCEDIMENT D’INSCRIPCIÓ
DE LA CREACIÓ, MODIFICACIÓ O SUPRESSIÓ DE FITXERS
Article 130. Iniciació del procediment 1. El procediment s’inicia com a conseqüència de la notificació de la creació,
modificació o supressió del fitxer per part de l’interessat o, si s’escau, de la comunicació efectuada per les autoritats de control de les comunitats autònomes, a què es refereix el present Reglament.
2. La notificació s’ha d’efectuar emplenant els models o formularis electrònics publicats a aquest efecte per l’Agència Espanyola de Protecció de Dades, en virtut del que disposa l’apartat 1 de l’article 59 d’aquest Reglament.
Si es tracta de la notificació de la modificació o supressió d’un fitxer, s’hi ha d’indicar el codi d’inscripció del fitxer en el Registre General de Protecció de Dades.
3. La notificació s’ha d’efectuar en suport electrònic, ja sigui mitjançant comunicació electrònica a través d’Internet per mitjà de signatura electrònica o en suport informàtic, utilitzant a aquest efecte el programa d’ajuda per a la generació de notificacions que l’Agència posa a disposició dels interessats de forma gratuïta.
És igualment vàlida la notificació efectuada en suport de paper quan per emplenar-la s’hagin fet servir els models o formularis publicats per l’Agència.
4. En la notificació, el responsable del fitxer ha de declarar un domicili als efectes de notificacions en el procediment. Article 131. Especialitats en la notificació de fitxers de titularitat pública
1. Quan es tracti de la notificació de fitxers de titularitat pública, s’ha d’acompanyar la notificació amb una còpia de la norma o acord de creació, modificació o supressió del fitxer a què fa referència l’article 52 del present Reglament.
Quan el diari oficial en què s’hagi publicat l’esmentada norma o acord sigui accessible a través d’Internet, només s’ha d’indicar en la notificació l’adreça electrònica que permeti la seva localització concreta.
2. Un cop rebuda la notificació, si no conté la informació preceptiva o s’hi adverteixen defectes formals, el Registre General de Protecció de Dades ha de requerir el responsable del fitxer perquè completi o esmeni la notificació. El termini per esmenar o millorar la sol·licitud és de tres mesos en cas que es necessiti la modificació de la norma o acord de creació del fitxer. Article 132. Acord d’inscripció o cancel·lació
Si la notificació referida a la creació, modificació o supressió del fitxer conté la informació preceptiva i es compleixen les restants exigències legals, el director de l’Agència Espanyola de Protecció de Dades, a proposta del Registre General de Protecció de Dades, ha d’acordar, respectivament, la inscripció del fitxer, amb
§2
91
l’assignació del corresponent codi d’inscripció, la modificació de la inscripció del fitxer o la cancel·lació de la inscripció corresponent. Article 133. Improcedència o denegació de la inscripció
El director de l’Agència Espanyola de Protecció de Dades, a proposta del Registre General de Protecció de Dades, ha de dictar resolució per la qual es denega la inscripció, modificació o cancel·lació quan dels documents aportats pel responsable del fitxer es desprèn que la notificació no és conforme amb el que disposa la Llei orgànica 15/1999, de 13 de desembre.
La resolució ha de ser degudament motivada, amb indicació expressa de les causes que impedeixen la inscripció, modificació o cancel·lació. Article 134. Durada del procediment i efectes de la falta de resolució expressa
1. El termini màxim per dictar i notificar resolució sobre la inscripció, modificació o cancel·lació és d’un mes.
2. Si en el termini esmentat no s’ha dictat i notificat resolució expressa, el fitxer s’entén inscrit, modificat o cancel·lat a tots els efectes.
SECCIÓ 2a
PROCEDIMENT DE CANCEL·LACIÓ D’OFICI DE FITXERS INSCRITS
Article 135. Iniciació del procediment
El procediment de cancel·lació d’ofici dels fitxers inscrits en el Registre General de Protecció de Dades sempre s’ha d’iniciar d’ofici, o bé per pròpia iniciativa o en virtut de denúncia, mitjançant acord del director de l’Agència Espanyola de Protecció de Dades. Article 136. Terminació de l’expedient
La resolució, amb l’audiència prèvia de l’interessat, ha d’acordar si és procedent o no la cancel·lació del fitxer.
Si la resolució acorda la cancel·lació del fitxer, aquesta s’ha de traslladar al Registre General de Protecció de Dades perquè procedeixi a la cancel·lació.
CAPÍTOL V PROCEDIMENTS RELACIONATS
AMB LES TRANSFERÈNCIES INTERNACIONALS DE DADES
SECCIÓ 1a PROCEDIMENT D’AUTORITZACIÓ
DE TRANSFERÈNCIES INTERNACIONALS DE DADES
Article 137. Iniciació del procediment
1. El procediment per a l’obtenció de l’autorització per a les transferències internacionals de dades a països tercers a què es refereixen l’article 33 de la Llei orgànica 15/1999, de 13 de desembre, i l’article 70 d’aquest Reglament, sempre s’ha d’iniciar a sol·licitud de l’exportador que pretengui portar a terme la transferència.
2. En la seva sol·licitud, a més dels requisits legalment exigits, l’exportador ha de consignar, en tot cas:
§2
92
a) La identificació del fitxer o fitxers a les dades dels quals es refereixi la transferència internacional, amb indicació de la seva denominació i codi d’inscripció del fitxer en el Registre General de Protecció de Dades.
b) La transferència o transferències respecte de les quals se sol·licita l’autorització, amb indicació de la finalitat que la justifica.
c) La documentació que incorpori les garanties exigibles per a l’obtenció de l’autorització, així com el compliment dels requisits legals necessaris per fer la transferència, si s’escau.
Quan l’autorització es fonamenti en l’existència d’un contracte entre l’exportador i l’importador de les dades, se n’ha d’aportar una còpia, i també s’ha d’acreditar la concurrència de poder suficient en els seus atorgants.
Si l’autorització es pretén fundar en el que disposa l’apartat 4 de l’article 70, s’han d’aportar les normes o regles adoptades en relació amb el tractament de les dades en el si del grup, així com la documentació que acrediti el seu caràcter vinculant i la seva eficàcia dins del grup. Igualment s’ha d’aportar la documentació que acrediti la possibilitat que l’afectat o l’Agència Espanyola de Protecció de Dades puguin exigir la responsabilitat que correspongui en cas de perjudici de l’afectat o vulneració de les normes de protecció de dades per part de qualsevol empresa importadora. Article 138. Instrucció del procediment
1. Quan el director de l’Agència Espanyola de Protecció de Dades acordi, conforme al que disposa l’article 86.1 de la Llei 30/1992, de 26 de novembre, l’obertura d’un període d’informació pública, el termini per a la formulació d’al·legacions és de deu dies a comptar de la publicació en el Butlletí Oficial de l’Estat de l’anunci que preveu la Llei esmentada.
2. No és possible l’accés a la informació de l’expedient en què es donin les circumstàncies establertes a l’article 37.5 de la Llei 30/1992, de 26 de novembre.
3. Transcorregut el termini previst a l’apartat 1, en cas que s’hagin formulat al·legacions, s’han de traslladar al sol·licitant de l’autorització, a fi que en el termini de deu dies al·legui el que estimi procedent. Article 139. Actes posteriors a la resolució
1. Quan el director de l’Agència Espanyola de Protecció de Dades resolgui autoritzar la transferència internacional de dades, s’ha de traslladar la resolució d’autorització al Registre General de Protecció de Dades, a fi d’inscriure-la.
El Registre General de Protecció de Dades ha d’inscriure d’ofici l’autorització de transferència internacional.
2. En tot cas, s’ha de traslladar la resolució d’autorització o denegació de l’autorització de la transferència internacional de dades al Ministeri de Justícia, a l’efecte que es notifiqui a la Comissió Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26.3 de la Directiva 95/46/CE. Article 140. Durada del procediment i efectes de la falta de resolució expressa
1. El termini màxim per dictar i notificar resolució és de tres mesos a comptar de la data d’entrada de la sol·licitud a l’Agència Espanyola de Protecció de Dades.
2. Si en aquest termini no s’ha dictat i notificat resolució expressa, s’ha d’entendre autoritzada la transferència internacional de dades.
§2
93
SECCIÓ 2a
PROCEDIMENT DE SUSPENSIÓ TEMPORAL DE TRANSFERÈNCIES INTERNACIONALS DE DADES
Article 141. Iniciació
1. En els supòsits que preveuen l’article 69 i l’apartat 3 de l’article 70, el director de l’Agència Espanyola de Protecció de Dades pot acordar la suspensió temporal d’una transferència internacional de dades.
2. En aquests supòsits, el director ha de dictar un acord d’inici referit a la suspensió temporal de la transferència. L’acord ha de ser motivat i s’ha de fundar en els supòsits que preveu aquest Reglament. Article 142. Instrucció i resolució
1. L’acord s’ha de traslladar a l’exportador, a fi que en el termini de quinze dies formuli el que convingui al seu dret.
2. Rebudes les al·legacions o complert el termini assenyalat, el director ha de dictar resolució en què acordi, si s’escau, la suspensió temporal de la transferència internacional de dades. Article 143. Actes posteriors a la resolució
1. El director de l’Agència Espanyola de Protecció de Dades ha de traslladar la resolució al Registre General de Protecció de Dades, a fi que la mateixa resolució es faci constar en el Registre.
El Registre General de Protecció de Dades ha d’inscriure d’ofici la suspensió temporal de la transferència internacional.
2. En tot cas s’ha de traslladar la resolució al Ministeri de Justícia, a l’efecte que es notifiqui a la Comissió Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26.3 de la Directiva 95/46/CE. Article 144. Aixecament de la suspensió temporal
1. La suspensió s’ha d’aixecar tan bon punt cessin les causes que la van justificar, mitjançant una resolució del director de l’Agència Espanyola de Protecció de Dades, que s’ha de traslladar a l’exportador.
2. El director de l’Agència Espanyola de Protecció de Dades ha de traslladar la resolució al Registre General de Protecció de Dades, a fi que es faci constar en el Registre.
El Registre General de Protecció de Dades ha de fer constar d’ofici l’aixecament de la suspensió temporal de la transferència internacional.
3. L’acord s’ha de notificar a l’exportador i al Ministeri de Justícia, a l’efecte que el notifiqui a la Comissió Europea i als altres estats membres de la Unió Europea, d’acord amb el que preveu l’article 26. 3 de la Directiva 95/46/CE.
§2
94
CAPÍTOL VI PROCEDIMENT D’INSCRIPCIÓ DE CODIS TIPUS
Article 145. Iniciació del procediment
1. El procediment per a la inscripció en el Registre General de Protecció de Dades dels codis tipus s’inicia sempre a sol·licitud de l’entitat, òrgan o associació promotora del codi tipus.
2. La sol·licitud, que ha de complir els requisits legalment establerts, s’ha d’acompanyar dels documents següents:
a) Acreditació de la representació que es doni en la persona que presenti la sol·licitud.
b) Contingut de l’acord, conveni o decisió pel qual s’aprova, en l’àmbit corresponent, el contingut del codi tipus presentat.
c) En cas que el codi tipus procedeixi d’un acord sectorial o una decisió d’empresa, certificació referida a l’adopció de l’acord i legitimació de l’òrgan que el va adoptar.
d) En el cas que indica la lletra anterior, còpia dels estatuts de l’associació, organització sectorial o entitat en el marc de la qual ha estat aprovat el codi.
e) En cas de codis tipus presentats per associacions o organitzacions de caràcter sectorial, documentació relativa a la seva representativitat en el sector.
f) En cas de codis tipus basats en decisions d’empresa, descripció dels tractaments a què es refereix el codi tipus.
g) Codi tipus sotmès a l’Agència Espanyola de Protecció de Dades. Article 146. Anàlisis dels aspectes substantius del codi tipus
1. Durant els trenta dies següents a la notificació o esmena dels defectes, el Registre General de Protecció de Dades pot convocar els sol·licitants a fi d’obtenir aclariments o precisions relatives al contingut substantiu del codi tipus.
2. Transcorregut el termini assenyalat a l’apartat anterior, el Registre General de Protecció de Dades ha d’elaborar un informe sobre les característiques del projecte de codi tipus.
3. La documentació presentada i l’informe del Registre s’han de remetre al Gabinet Jurídic, a fi que aquest informi sobre el compliment dels requisits que estableix el títol VII d’aquest Reglament. Article 147. Informació pública
1. Quan el director de l’Agència Espanyola de Protecció de Dades acordi, conforme al que disposa l’article 86.1 de la Llei 30/1992, de 26 de novembre, l’obertura d’un període d’informació pública, el termini per a la formulació d’al·legacions és de deu dies a comptar de la publicació en el Butlletí Oficial de l’Estat de l’anunci que preveu la Llei esmentada.
2. No és possible l’accés a la informació de l’expedient en què es donin les circumstàncies que estableix l’article 37.5 de la Llei 30/1992, de 26 de novembre.
§2
95
Article 148. Millora del codi tipus
Si durant la tramitació del procediment és necessària l’aportació de nous documents o la modificació del codi tipus presentat, l’Agència Espanyola de Protecció de Dades pot requerir el sol·licitant a fi que en el termini de trenta dies introdueixi les modificacions que siguin necessàries, i remeti el text resultant a l’Agència Espanyola de Protecció de Dades.
S’ha de declarar la suspensió del procediment mentre el sol·licitant no doni compliment al requeriment. Article 149. Tràmit d’audiència
En cas que durant el tràmit que preveu l’article 148 s’hagin formulat al·legacions, s’han de traslladar al sol·licitant de l’autorització, a fi que en el termini de deu dies al·legui el que estimi procedent. Article 150. Resolució
1. Complerts els termes que estableixen els articles precedents, el director de l’Agència ha de resoldre sobre la procedència o improcedència de la inscripció del codi tipus en el Registre General de Protecció de Dades.
2. Quan el director de l’Agència Espanyola de Protecció de Dades resolgui autoritzar la inscripció del codi tipus, la resolució s’ha de traslladar al Registre General de Protecció de Dades, a fi de fer-ne la inscripció. Article 151. Durada del procediment i efectes de la falta de resolució expressa
1. El termini màxim per dictar i notificar resolució és de sis mesos a comptar de la data d’entrada de la sol·licitud a l’Agència Espanyola de Protecció de Dades.
2. Si en aquest termini no s’ha dictat i notificat resolució expressa, el sol·licitant pot considerar estimada la seva sol·licitud. Article 152. Publicació dels codis tipus per l’Agència Espanyola de Protecció de Dades
L’Agència Espanyola de Protecció de Dades ha de donar publicitat al contingut dels codis tipus inscrits en el Registre General de Protecció de Dades, fent servir per a això, amb caràcter preferent, mitjans electrònics o telemàtics.
CAPÍTOL VII ALTRES PROCEDIMENTS TRAMITATS
PER L’AGÈNCIA ESPANYOLA DE PROTECCIÓ DE DADES
SECCIÓ 1a PROCEDIMENT D’EXEMPCIÓ
DEL DEURE D’INFORMACIÓ A L’INTERESSAT
Article 153. Iniciació del procediment
1. El procediment per obtenir de l’Agència Espanyola de Protecció de Dades l’exempció del deure d’informar l’interessat sobre el tractament de les seves dades de caràcter personal quan sigui impossible o exigeixi esforços desproporcionats, que preveu l’apartat 5 de l’article 5 de la Llei orgànica 15/1999, de 13 de desembre,
§2
96
sempre s’inicia a petició del responsable que pretengui obtenir l’aplicació de l’exempció.
2. En l’escrit de sol·licitud, a més dels requisits que recull l’article 70 de la Llei 30/1992, de 26 de novembre, el responsable:
a) Ha d’identificar clarament el tractament de dades a què es pretén aplicar l’exempció del deure d’informar.
b) Ha d’indicar expressament els motius quant a les causes en què fonamenta la impossibilitat o el caràcter desproporcionat de l’esforç que implicaria el compliment del deure d’informar.
c) Ha d’exposar detalladament les mesures compensatòries que proposa realitzar en cas d’exoneració del compliment del deure d’informar.
d) Ha d’aportar una clàusula informativa la difusió de la qual, en els termes que s’indiquin en la sol·licitud, permeti compensar l’exempció del deure d’informar.
Article 154. Proposta de noves mesures compensatòries
1. Si l’Agència Espanyola de Protecció de Dades considera insuficients les mesures compensatòries proposades pel sol·licitant, pot acordar l’adopció de mesures complementàries o substitutives de les que el sol·licitant va proposar en la seva sol·licitud.
2. L’acord s’ha de traslladar al sol·licitant a fi que exposi el que convingui al seu dret en el termini de quinze dies. Article 155. Terminació del procediment
Conclosos els tràmits que preveuen els articles precedents, el director de l’Agència ha de dictar resolució, per la qual concedeixi o denegui l’exempció del deure d’informar. La resolució pot imposar l’adopció de les mesures complementàries a què es refereix l’article anterior. Article 156. Durada del procediment i efectes de la falta de resolució expressa
1. El termini màxim per dictar i notificar resolució en el procediment és de sis mesos a comptar de la data d’entrada de la sol·licitud del responsable del fitxer a l’Agència Espanyola de Protecció de Dades.
2. Si en aquest termini no s’ha dictat i notificat resolució expressa, l’afectat pot considerar estimada la seva sol·licitud per silenci administratiu positiu.
SECCIÓ 2a
PROCEDIMENT PER A L’AUTORITZACIÓ DE CONSERVACIÓ DE DADES PER A FINS HISTÒRICS, ESTADÍSTICS O CIENTÍFICS
Article 157. Iniciació del procediment
1. El procediment per obtenir de l’Agència Espanyola de Protecció de Dades la declaració de la concurrència en un determinat tractament de dades de valors històrics, científics o estadístics, a l’efecte del que preveuen la Llei orgànica 15/1999, de 13 de desembre, i el present Reglament, sempre s’ha d’iniciar a petició del responsable que pretengui obtenir la declaració.
2. En l’escrit de sol·licitud, el responsable: a) Ha d’identificar clarament el tractament de dades al qual es pretén aplicar
l’excepció.
§2
97
b) Ha d’indicar expressament els motius quant a les causes que justifiquen la declaració.
c) Ha d’exposar detalladament les mesures que el responsable del fitxer es proposa implantar per garantir el dret dels ciutadans.
3. La sol·licitud s’ha d’acompanyar de tots els documents o proves que siguin necessaris per justificar l’existència dels valors històrics, científics o estadístics que fonamentarien la declaració de l’Agència. Article 158. Durada del procediment i efectes de la falta de resolució expressa
1. El termini màxim per dictar i notificar resolució en el procediment és de tres mesos a comptar de la data d’entrada de la sol·licitud del responsable del fitxer a l’Agència Espanyola de Protecció de Dades.
2. Si en aquest termini no s’ha dictat i notificat una resolució expressa, l’afectat pot considerar estimada la seva sol·licitud.
DISPOSICIÓ ADDICIONAL Disposició addicional única. Productes de programari
Els productes de programari destinats al tractament automatitzat de dades personals han d’incloure en la seva descripció tècnica el nivell de seguretat, bàsic, mitjà o alt, que permetin atènyer d’acord amb el que estableix el títol VIII d’aquest Reglament.
DISPOSICIÓ FINAL
Disposició final única. Aplicació supletòria En el que no estableix el capítol III del títol IX són aplicables als procediments
sancionadors tramitats per l’Agència Espanyola de Protecció de Dades les disposicions que conté el Reglament del procediment per a l’exercici de la potestat sancionadora, aprovat pel Reial decret 1398/1993, de 4 d’agost.
99
§3
DECRET 90/2006, DE 20 D’OCTUBRE, SOBRE LA CREACIÓ, MODIFICACIÓ I SUPRESSIÓ DE FITXERS QUE CONTENEN DADES DE
CARÀCTER PERSONAL EN L’ÀMBIT DE L’ADMINISTRACIÓ DE LA COMUNITAT AUTÒNOMA DE LES ILLES BALEARS
(BOIB núm. 153, de 31 d’octubre de 2006)
DECRET Article 159
En l’àmbit de l’Administració de la Comunitat Autònoma de les Illes Balears, les disposicions generals de creació, modificació i supressió dels fitxers que contenen dades de caràcter personal a les quals es refereix l’article 20 de la Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal, han d’adoptar la forma d’ordre dictada pel titular respectiu de les conselleries que integren l’Administració autonòmica.
Els consellers han d’aprovar les ordres respectives respectant els terminis que fixa la normativa bàsica estatal sobre la matèria.60 Article 2
De conformitat amb el que estableix l’article 20 de la Llei orgànica 15/1999 de 13 de desembre, les ordres a les quals es refereix l’article 1 d’aquest Decret han de seguir l’estructura que contengui per a cada fitxer els conceptes següents:
1. Denominació del fitxer 2. Finalitat i usos prevists 3. Persones i col·lectius afectats o obligats a subministrar les dades 4. Procediment per a la recollida de dades 5. Estructura bàsica i tipus de dades de caràcter personal que conté 6. Cessió de dades. 7. Òrgan administratiu responsable del fitxer. 8. Òrgan davant el qual poden exercir-se els drets d’accés, rectificació i cancel·lació 9. Mesures de seguretat, amb indicació del nivell bàsic, mig o alt exigible.
59
Vid. article 28 de l’EAIB, esmentat en la nota 2, la redacció del qual és la següent: «Totes les persones tenen dret a l’accés, la protecció, la correcció i la cancel·lació de les seves dades personals que figurin als fitxers de titularitat de les administracions públiques de la comunitat autònoma i dels ens o organismes de qualsevol classe, vinculats o dependents d’aquestes.» 60
D’acord amb l’article 31.14 de l’EAIB, esmentat en la nota anterior, en el marc de la legislació bàsica estatal, correspon a la comunitat autònoma de les Illes Balears el desenvolupament legislatiu i l’execució de la matèria relativa a la protecció de dades de caràcter personal respecte dels fitxers de titularitat de les administracions públiques de la comunitat autònoma i dels ens o organismes autònoms que en depenen.
§3
100
DISPOSICIÓ DEROGATÒRIA
Disposició derogatòria Es deroga el Decret 92/1994, de 27 de juliol, pel qual es regulen els fitxers
automatitzats que contenen dades de caràcter personal gestionats pel Servei d’Informàtica de la Comunitat Autònoma de les Illes Balears.
DISPOSICIÓ FINAL
Disposició final Aquest Decret entrarà en vigor l’endemà d’haver estat publicat en el Butlletí Oficial
de les Illes Balears.
101
ÍNDEX ANALÍTIC (La numeració remet als articles de les normes)
Accessos autoritzats §2 5.2 a Administració General de l’Estat
Fitxers i Registre de Població § 1 DA 2a Administracions públiques
Accés a dades bloquejades §1 16.3 Adopció de codis tipus §2 72.4 Creació, modificació o supressió de fitxers §1 20.1 Dades §1 11.2 d
cessions §1 10.4 b, 11.2 e comunicació §1 21 infraccions penals o administratives §1 7.5 tractament amb finalitats històriques, estadístiques o científiques §1 11.2 e
Dret a indemnització §1 19 Excepcions al dret de cancel·lació §2 5.1 b Exercici dels drets d’accés, rectificació o cancel·lació a través de representant §2 23.2 c Fitxers
inscripció §1 39.2 preexistents §1 DA 1a registres de població §1 DA 2a
Infraccions §1 46 No necessitat de consentiment de l’afectat §1 6.2 §2 10.3 a Responsabilitat dels encarregats i responsables dels fitxers de les §1 43.2
Afectat (interessat) §1 3 e §2 5.1 a Agència Espanyola de Protecció de Dades §1 35.1
Comunicació de la denegació dels drets d’accés, rectificació i cancel·lació §1 23.3 de les actuacions contràries a la llei §1 18.2 inscripció de fitxers de titularitat privada §1 26
Consell Consultiu §1 38 Cooperació amb les comunitats autònomes §1 41.3 Dades amb valors històrics, estadístics o científics §2 9.2 Dades relatives a obligacions dineràries §2 38.3 Denegació
d’accés §2 30.3 dels drets de cancel·lació i rectificació §2 33.3
Director §1 36, 37 §2 67 Funcions §1 37 Moviment internacional de dades §1 33.2 Notificació de fitxers §1 26 §2 55 Òrgans corresponents de les comunitats autònomes §1 41 Potestat d’inspecció §1 40
Índex analític
102
Procediments potestat sancionadora §2 120-129 publicitat de les resolucions §2 115 règim aplicable §2 115
Publicitat de les resolucions §2 116 Recurs contenciós administratiu §1 18
Associacions §1 7 Autenticació
Definició §2 5.2 b Butlletí Oficial de l’Estat §1 20, 44 §2 52, 53, 67 Cancel·lació
Definició §2 5.1 b Cens promocional §1 3 j, 31
Dret d’exclusió de dades §1 28.2
Fonts accessibles al públic→ Utilització §1 DT 2a
Centres sanitaris §1 8 Cessió de dades
Contracte §1 12.2 Definició §2 5.1 c Legitimació §1 11 §2 10
Cessió o comunicació de dades
Definició §1 3 i Cessionari
Comunicació de dades §1 27 Ciutadans
Valoració del seu comportament §1 13.4 Codis tipus §1 32 §2 71
Compromisos addicionals §2 74 Contingut §2 73 Dipòsit i publicitat §2 77 Garanties del compliment §2 75 Inscripció en el Registre General §1 39 Obligacions posteriors a la inscripció §2 78 Procediment d’inscripció §2 145-152 Relació d’adherits §2 76
Col·legis professionals §1 28.2
Índex analític
103
Comissió Europea Declaració d’existència de nivell adequat de protecció §2 68 Notificació §2 139.2 Suspensió §2 143.2 Suspensió temporal §2 69
Comunitats autònomes
Fitxers en matèria de la seva competència exclusiva §1 42 Fitxers i Registre de Població § 1 DA 2a Òrgans corresponents a l’Agència Espanyola de Protecció de Dades §1 41 Tractament amb fins estadístics, històrics o científics §2 9.2
Comunitats religioses §1 7 Confessions o comunitats religioses §1 7 Consentiment §1 6, 21.4
Dades que revelin ideologia, afiliació sindical, religió o creences §1 7.1 Definició §1 3 h §2 5.1 d Forma d’obtenir-lo §2 14 Infracció per obtenció de dades sense §1 44.3 g Moviment internacional de dades §1 34 e Nul §1 11.3 Obtenció §2 12-17 Revocació §1 6 §2 17 Sol·licitud en el marc d’una relació contractual §2 15 Tractament de dades de menors d’edat §2 13
Contrasenya
Definició §2 5.2 c Control d’accés
Definició §2 5.2 d Còpia de seguretat
Definició §2 5.2 e Dada dissociada
Definició §2 5.1 e Dades de caràcter personal
Accés per compte d’un tercer §1 12 Comunitats religioses §1 7 Definició §1 3 a §2 5.1 f Dret d’informació en la recollida §1 5 Especialment protegides §1 7
afiliació sindical §1 7.2 ideologia §1 7.2 obtenció sense consentiment de la persona afectada §1 5.4 religió §1 7.2 salut §1 7.2, 8 supòsits que legitimen el tractament o la cessió §1 10.5
Índex analític
104
Procediment per a l’autorització de conservació per a fins històrics, estadístics o científics §2 157-158
Qualitat §1 4 §2 8 Relacionades amb la salut
Definició §2 5.1 g Termini de conservació §1 16 Tractaments creats per convenis internacionals §1 DT 1a
Defensa Nacional
Excepcions al dret d’informació dels afectats §1 24 Defensor del Poble
Competències §1 DA 5a Comunicació de la no necessitat del consentiment §1 11.2 d §2 10.4 b
Destinatari o cessionari
Definició §2 5.1 h Deure d’informació
Procediment d’exempció §2 153-156 Supòsits especials §2 19
Deure de secret §1 10
De les autoritats de control §1 40.2 Del personal al servei de l’Agència Espanyola de Protecció de Dades §1 35.3
Diaris o publicacions oficials
Fonts accessibles al públic→
Document
Definició §2 5.2 f Document de seguretat
Canvi de contrasenyes §2 93 Contingut §2 88 Còpies de seguretat §2 94 Delegació d’autoritzacions §2 84 Emmagatzematge de la informació §2 111 Nivell de seguretat §2 81.8 Règim de treball fora dels locals del responsable del fitxer o encarregat del tractament §2 86 Registre
d’accés a persones no autoritzades §2 113 d’accessos §2 103
Reproducció de documents §2 112 Dret a indemnització §1 19 Dret d’accés §2 27
Atorgament §2 29 Caràcter personalíssim §2 23 Denegació §2 30
Índex analític
105
Deure de resposta §2 25.5 Excepcions §1 23 Exercici §2 28
condicions generals §2 24 davant un encarregat del tractament §2 26 per representant §2 23.2 c
Gratuït §1 15 Notificació d’una inclusió §2 40.1 Procediment §1 17 §2 25 Procediment de tutela §2 117-119 Termini §1 15.3 Tractament que permeti el §2 8.7
Dret d’informació §1 5
De la cessió de les dades §1 27 Exercici
davant un encarregat del tractament §2 26 per representant §2 23.2 c
Dret d’oposició §2 31
A les dades basades únicament en un tractament automatitzat §2 36 Caràcter personalíssim §2 23 Exercici §2 35
condicions generals §2 24 davant un encarregat del tractament §2 26 per representant §2 23.2 c
Notificació d’una inclusió §2 40.1 Procediment §1 17 §2 25 Procediment de tutela §2 117-119
Dret de cancel·lació
Caràcter personalíssim §2 23 Denegació §2 31 Excepcions §1 23 §2 31 Exercici §2 32
condicions generals §2 24 davant un encarregat del tractament §2 26 per representant §2 23.2 c
Notificació d’una inclusió §2 40.1 Procediment §1 17 §2 25 Procediment de tutela §2 117-119
Dret de rectificació
Caràcter personalíssim §2 23 Denegació §2 33 Excepcions §2 31 §1 23 Exercici §2 32
condicions generals §2 24 davant un encarregat del tractament §2 26 per representant §2 23.2 c
Notificació d’una inclusió §2 40.1
Índex analític
106
Procediment §1 17 §2 25 Procediment de tutela §2 117-119
Encarregat del tractament
Conservació de les dades §2 22 Definició §1 3 g §2 5.1 i Possibilitat de subcontractació §2 21 Relacions amb el responsable §2 20
Entitats sense ànim de lucre §1 7 Esglésies § 1 7 Establiment §2 3.2 Exportador de dades
Definició §2 5.1 j Fitxers
De titularitat pública Definició §2 5.1 m
Definició §1 3 b §2 5.1 k Exclosos §2 4 No automatitzat
Definició §2 5.1 n Preexistents §1 DA 1a
Fitxers de dades de caràcter personal
Disposicions de creació §3 1 contingut §3 2
Fitxers de titularitat privada
Comunicació de la cessió de dades §1 27 Creació §1 25 Inscripció en el Registre General §1 39 Notificació i inscripció §1 26 Prestació de serveis d’informació sobre solvència patrimonial i crèdit §1 29 Tractaments amb finalitats de publicitat i de prospecció comercial §1 30
Fitxers de titularitat pública
Comunicació de dades entre administracions públiques §1 21 Creació, modificació i supressió §1 20 De les Forces i Cossos de Seguretat §1 22 Inscripció en el Registre General §1 39
Fitxers i tractaments automatitzats
Mesures de seguretat nivell alt còpies de seguretat i recuperació §2 102 gestió i distribució de suports §2 101 registre d’accessos §2 103 telecomunicacions §2 104
Índex analític
107
Mesures de seguretat nivell bàsic control d’accés §2 91 còpies de seguretat i recuperació §2 94 funcions i obligacions del personal §2 89 gestió de suports i documents §2 92 identificació i autenticació §2 93 Registre d’incidències §2 90
Mesures de seguretat nivell mitjà auditoria §2 96 control d’accés físic §2 99 gestió de suports i documents §2 97 identificació i autenticació §2 98 registre d’incidències §2 100 responsable de seguretat §2 95
Fitxers i tractaments no automatitzats
Mesures de seguretat→ Mesures de seguretat nivell alt
accés a la documentació §2 113 còpia o reproducció §2 112 emmagatzematge de la informació §2 111 trasllat de documentació §2 114
Mesures de seguretat nivell bàsic criteris d’arxivament §2 106 custòdia dels suports §2 108 dispositius d’emmagatzematge §2 107 obligacions comunes §2 105
Mesures de seguretat nivell mitjà auditoria §2 110 responsable de seguretat §2 109
Fitxers temporals
Definició §2 5.2 g Fons accessibles al públic §1 21 §2 7
Dades incloses §1 28 Definició §1 3 j
Fundacions §1 7 Guies de serveis de comunicacions electròniques
Fonts accessibles al públic→ Identificació
Definició §2 5.2 h Importador de dades personals
Definició §2 5.1 ñ Incidència
Definició §2 5.2 i
Índex analític
108
Menors d’edat Tractament de dades §2 13
Mesures de seguretat
Termini d’implantació §2 DT 2a Mitjans de comunicació social
Fonts accessibles al públic→
Moviment internacional de dades §1 33 Excepcions §1 34
Partits polítics §1 7 Perfil d’usuari
Definició §2 5.2 j Persona identificable
Definició §2 5.1 o Potestat sancionadora
Actuacions prèvies actuacions presencials §2 125 Iniciació §2 122 obtenció d’informació §2 124 personal competent §2 123 resultat de les actuacions prèvies §2 126
Àmbit d’aplicació §2 120 Immobilització de fitxers §2 121 Potestat d’immobilització de fitxers §1 49 Prescripció §1 47 Procediment sancionador §1 48 §2 127-128 Responsables §1 43 Tipus d’infraccions §1 43
greus §1 43.3 lleus §1 43.2 molt greus §1 43.4
Tipus de sancions §1 45 Prestació de serveis d’informació sobre solvència patrimonial i crèdit §1 29 Procediment d’autorització de conservació de dades
Durada i efectes de la falta de resolució expressa §2 158 Iniciació §2 157
Procediment d’autorització de transferències internacionals de dades
Actes posteriors a la resolució §2 139 Durada i efectes de la falta de resolució expressa §2 140 Iniciació §2 137 Instrucció §2 138
Índex analític
109
Procediment d’exempció del deure d’informació a l’interessat Durada i efectes de la falta de resolució expressa §2 156 Iniciació §2 153 Propostes de noves mesures compensatòries §2 154 Terminació §2 155
Procediment d’inscripció cancel·lació de fitxers
Acord d’inscripció o cancel·lació §2 132 Durada i efectes de la falta de resolució expressa §2 134 Especialitats §2 131 Improcedència o denegació d’inscripció §2 133 Iniciació §2 130
Procediment d’inscripció de codis tipus
Anàlisi dels aspectes substantius §2 146 Durada i efectes de la falta de resolució expressa §2 151 Informació pública §2 147 Iniciació §2 145 Millora §2 148 Publicació §2 145 Resolució §2 150 Tràmit d’audiència §2 149
Procediment de cancel·lació d’ofici de fitxers
Iniciació §2 130 Procediment de dissociació
Definició §1 3 f §2 5.1 p Procediment de suspensió temporal de transferències internacionals de dades
Actes posteriors a la resolució §2 143 Aixecament §2 144 Iniciació §2 141 Instrucció i resolució §2 142
Recurs
Definició §2 5.2 k Registre General de Protecció de Dades
Director §1 39 Responsable de seguretat §2 95
Definició §2 5.2 l Fitxers i tractaments no automatitzats
Mesures de seguretat nivell mitjà §2 109 Responsable del fitxer
Definició §2 5.1 q Responsable del fitxer o del tractament
Definició §1 3 d
Índex analític
110
Responsable tractament Definició §2 5.1 q
Serveis de comunicacions electròniques
Tractament de dades de facturació i tràfic §2 16 Sindicats §1 7 Sistema
d’informació Definició §2 5.2 m
de tractament Definició §2 5.2 n
Suport
Definició §2 5.2 ñ Tercer
Definició §2 5.1 r Terminis
Còmput §2 6 Tractament
Legitimació §2 10 Tractament de dades
Definició §1 3 c §2 5.1 t Transferència internacional de dades
Definició §2 5.1 s Transmissió de documents
Definició §2 5.2 o Usuari
Definició §2 5.2 p
